メディア

Microsoftが大失敗 サイバー攻撃にうまく対応できない

Microsoftは同一の犯罪グループによる継続的な攻撃を受け続けており、効果的に対応できていない。Microsoftに何が起こっているのだろうか。

» 2024年04月15日 10時30分 公開
[Matt KapkoCybersecurity Dive]
Cybersecurity Dive

 Microsoftはサイバー攻撃にうまく対応できていない。2023年11月下旬、ロシアが支援するサイバー犯罪グループがMicrosoftのシステムに侵入し、同社の上級幹部からデータを盗んだ。この攻撃はいまだに続いている。

ユーザーに影響は?

 Microsoftは2024年3月8日、証券取引委員会(SEC)に攻撃の現状を記した書類を提出した。書類には何が書かれていたのだろうか。

 書類の内容は次のようになっていた。「『Midnight Blizzard』による攻撃を当社が最初に公表してからおよそ2カ月がたち、攻撃者は入手した情報を使用して当社のソースコードリポジトリと内部システムの一部に不正アクセスしたり、不正アクセスを試みたりしていると判断した」(注1、注2)。

 Microsoftは2024年3月8日のブログ投稿で「現時点では、当社がホストしているユーザー向けシステムが侵害されたという証拠は見つかっていない」と述べた(注3)。だがこの主張は後述するように正しくないようだ。

 Microsoftはブログの中で「国家の支援を受けた攻撃者は2024年1月には大規模な攻撃を実行し、同年2月には、パスワードスプレー攻撃などを10倍に増やした」と述べた。

セキュリティ慣行の見直しを始めた

 Midnight BlizzardのMicrosoftに対する執念深い攻撃が続いていることと、攻撃が一部拡大していることは巨大ハイテク企業であっても社内のセキュリティ慣行を見直す必要があることを浮き彫りにした(注4)。

 Microsoftの多方面にわたるセキュリティ改革は2023年11月から本格的に始まった(注5)。2023年7月に米国国務省を含む同社のユーザー企業25社の電子メールが流出する攻撃があり、政府や業界から非難を浴びた後のことだ(注6、注7)。今回のMidnight Blizzardによる攻撃をきっかけに、Microsoftは社内のセキュリティ慣行における欠陥に対処するため、さらなる対策を講じた(注8)。

 MicrosoftはSECに提出した書類の中で、次のように記している。「当社はセキュリティへの投資を増やし、企業間の連携を強化し、この高度な持続的脅威から身を守り、環境を保護し、強化する能力を高めてきた」

 Microsoftはブログで次のようにも表明した。「『Nobelium』という名称でも知られるMidnight Blizzardは、見つけ出したさまざまな種類の秘密情報を利用しようとしている。これらの情報の幾つかは、電子メールを用いてユーザー企業とMicrosoftの間で共有されていた。流出した電子メールの中に秘密情報を発見した場合、当社は緩和策を講じてユーザー企業を支援してきた」

ユーザー企業への影響は?

 Microsoftの複数のユーザー企業が攻撃の影響を受けている。Hewlett Packard Enterpriseはクラウドベースの電子メールシステムが侵害された理由をMidnight Blizzardと関連付けて公表した唯一の主要なユーザー企業だ(注9)。

 「攻撃者による継続的な攻撃の特徴はリソースや調整力、集中力を用いた持続的かつ重大なコミットメントだ。攻撃者の活動に関する積極的な調査が継続中であり、調査は今後も進展する。ただし、さらなる不正アクセスが発生する可能性はまだ残っている」(Microsoft)

 Microsoftによると、この攻撃は同社の業務に重大な影響を及ぼしておらず、このインシデントが同社の財務状況や業績に重大な影響を及ぼすかどうかについては、まだ判断していないという。

Midnight Blizzardの手口を知る

 ユーザー企業は今回の攻撃について何ができるだろうか。Microsoftが防御を固める一方、Midnight Blizzardが同様の手口を使って自社を直接攻撃する可能性に備えておくべきだろう。Microsoftは2024年1月25日、同グループの攻撃手法を分析した結果を発表した。

・パスワードスプレー攻撃
 Midnight BlizzardはMicrosoftを狙う際、まず多要素認証が有効になっていないレガシーな非本番テスト用テナントアカウントを侵害しようとした。手口はパスワードスプレー攻撃だ(関連記事)。

・OAuthアプリケーションの悪用
 複数のWebサービスを連携させて動作させるために使われる仕組みとしてMicrosoftに限らずOAuthが広く利用されている。犯罪グループはOAuthアプリケーションを作成し、変更し、高い権限を付与するためにユーザーアカウントを侵害した。こうすることで最初に侵害に成功したアカウントがブロックされたとしてもサービスへの不正アクセスを維持できるからだ

・Exchange Webサービスの悪用
 悪意のあるOAuthアプリケーションを利用して「Microsoft Exchange Online」(Exchange Online)の認証を破り、Microsoftの企業メールアカウントを狙った。

・レジデンシャルプロキシの悪用
 攻撃元を難読化するための複数の試みの一つがレジデンシャルプロキシの悪用だ。正当なユーザーが使用するような膨大な数のIPアドレスを経由してトラフィックをルーティングし、侵害に成功したテナントやExchange Onlineとやりとりした。

ユーザー企業は何ができるのか

 以上のような手口をMidnight Blizzardや模倣者が使ってきた場合、Microsoftによれば以下のような手法で防衛できる。

パスワードスプレー攻撃からの防衛

  • 従業員や経営陣が利用する安全ではないパスワードを排除する
  • サインイン(ログイン)のアクティビティーを確認して、不審なサインイン試行があった場合、アラート画面で「これは私のサインインではない」と報告するようにユーザーを教育する
  • パスワードスプレー攻撃を受けたことを検知した場合、標的となったアカウントのパスワードをリセットする。もし標的とされたアカウントにシステムレベルの権限があった場合、調査を続行する
  • 「Microsoft Entra ID Protection」などのソリューションを使用して、ID ベースの攻撃を検出、調査、修復する
  • 「Microsoft Purview Audit Premium」を使用して、侵害されたアカウントを調査する
  • 「Microsoft Active Directory Domain Services」にオンプレミスの「Microsoft Entra Password Protection」を適用する。
  • ユーザーサインインのリスクを検出して、多要素認証やパスワード変更があった場合に検出できるようにする
  • パスワードスプレー調査プレイブック(英語)を使用して、パスワードスプレーの可能性がある行為を調査する

悪意のあるOAuthアプリケーションから防御する方法

  • 「Microsoft Graph」データ接続承認ポータルを使用してテナント内の全てのID(ユーザーとサービスプリンシパルの両方)の特権レベルを監査し、どのIDが高い特権を持っているかを把握する。高い特権が付与されているIDは攻撃された場合により危険だからだ
  • Exchange Onlineで「ApplicationImpersonation」権限を保持するIDを監査する。ApplicationImpersonationを悪用されると、サービスプリンシパルなどの呼び出し元がユーザーになりすまして、ユーザー自身が実行できる操作と同じ操作を実行できるようになるからだ
  • 異常検知ポリシーを使用して悪意のあるOAuthアプリケーションを特定する
  • 管理されていないデバイスから接続するユーザーに対して、条件付きアクセスアプリケーション制御ができるように機能を実装する
  • 「EWS.AccessAsUser.All」パーミッションと「EWS.full_access_as_app」パーミッションを保持しているアプリケーションを確認して、それらがテナントで必要かどうかを検討する。不要な場合はただちに削除する。なぜなら、Midnight BlizzardはEWS.AccessAsUser.All Microsoft Graph APIロールまたはExchange Online ApplicationImpersonationロールを使用して電子メールへのアクセスを可能にするために、他の組織に対する過去の攻撃でOAuthアプリケーションを悪用したことが知られているからだ
  • アプリケーションがメールボックスにアクセスする必要がある場合、Exchange Online のアプリケーションにロールベースのアクセス制御を設定する

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。

編集部からのお知らせ