Microsoft Azureの乗っ取りが多発 その手口とは？

セキュリティ企業の分析によると、クラウドサービス「Microsoft Azure」へのサイバー攻撃が進行中だ。すでに100以上の組織のアカウントが乗っ取られたという。

[Matt Kapko，Cybersecurity Dive]

　「Microsoft Azure」（Azure）へのサイバー攻撃が進行中だ。すでに100以上の組織が運用中のAzure環境を乗っ取られたという。

Azureアカウントの乗っ取り攻撃が進行中

　サイバー攻撃者は企業の従業員や幹部の情報窃取を目的に、ターゲット企業のAzureシステムを侵害した。この件について、Microsoftはコメントの要請に応じなかった。どのような攻撃なのだろうか。

　攻撃の内容は特に変わったものでない。狙った相手にフィッシング攻撃を仕掛け、クラウドアカウントを乗っ取るためのテクニックを使った（注1）。共有ドキュメントにフィッシング用のリンクを埋め込むといった、よくある手口だ。

　セキュリティ企業Proofpointの広報担当者によれば「攻撃の最初の兆候は2023年11月下旬に観察されて、同年12月と2024年1月にインシデントの数が大幅に増加した」という。

　同社はこれらの攻撃が経済的な動機を持つ攻撃者によるものだと主張する。乗っ取りによって被害を受けた組織の名前はまだ明らかにされていない。

　今回同社が観測したAzureアカウントの乗っ取りキャンペーンでは、標的型フィッシング攻撃が使われていた。狙いは経営層の他、営業や財務、アカウント管理の従業員だ。

　Proofpointの広報担当者は「このキャンペーンの背後にいる攻撃者は、約500のユーザーアカウントに影響を与え、200以上の組織を標的にした」と述べた。

Azureアカウントが乗っ取られるとどうなるのか

　同社によると、攻撃者はAzure環境へのアクセス権限を獲得後、多要素認証の操作やデータの盗難、追加のフィッシング攻撃、金銭詐欺など、さまざまな活動を次々と実行するようだ。

　米国務省を含むMicrosoftの顧客25社に対する電子メールのハッキングを受けて（注2、注3）、Microsoftは社内外のセキュリティ慣行に対する監視を強化したが、新たに今回のアカウント乗っ取りキャンペーンが起こった。

　これらの注目度の高い攻撃と、ビジネスを取り巻く批判に対応して、Microsoftは「内外のサイバーセキュリティ戦略を抜本的に見直す」と述べた（注4、注5）。

　Microsoftの製品は世界中のIT環境に普及しており、攻撃者の主な標的だ。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が2023年10月に分析した結果によると、ランサムウェア攻撃で使用される184件の脆弱性のうち、4割以上がMicrosoft製品に関連している（注6）。

出典：Microsoft Azure customers hit by phishing, account takeover attacks（Cybersecurity Dive）
注1：Community Alert: Ongoing Malicious Campaign Impacting Azure Cloud Environments（Proofpoint）
注2：Midnight Blizzard attack seen as another sign of Microsoft falling short on security（Cybersecurity Dive）
注3：Microsoft offers free security logs amid backlash from State Department hack（Cybersecurity Dive）
注4：Microsoft to overhaul internal security practices after Midnight Blizzard attack（Cybersecurity Dive）
注5：Microsoft offers free security logs amid backlash from State Department hack（Cybersecurity Dive）
注6：Microsoft tops CISA’s list of exploited CVEs used in ransomware attacks（Cybersecurity Dive）