Teamsの会話も丸見えに？ Microsoftも警告、多要素認証を突破する見えない侵入者

Microsoftはロシア政府から支援を受けている未知の攻撃者グループを発見した。攻撃手法は既知のものを組み合わせたものに過ぎないが、多要素認証を突破して、ユーザーのメールなどを盗み出すことに成功している。

[Eric Geller，Cybersecurity Dive]

　Microsoftとオランダ政府が2025年5月27日にそれぞれ発表した報告書によると、ロシア政府から支援を受けた未知の攻撃者グループが（電力やガス、鉄道、空港などの）複数の分野の重要インフラ組織を標的にして情報を収集しているという。

未知の攻撃者グループが用いる戦術とは

　このグループをMicrosoftは「Void Blizzard」と呼び、オランダ政府は「Laundry Bear」と名付けた。このグループはまず認証情報をパスワードスプレー攻撃やスピアフィッシング攻撃、中間者スピアフィッシング攻撃を使って得た。犯罪エコシステムから直接入手したものもあると考えられている。

　続いて「Microsoft Graph API」を使って「Exchange Online」から電子メールの本文や添付ファイルを自動で大量に収集した。

　Microsoftによれば、攻撃者グループは欧州防衛・安全保障サミットの主催者を装って、偽の招待状を含むPDF添付ファイル付きのメールを標的に送信した。この添付ファイルには悪意のあるQRコードも含まれていた。NATOの加盟国やウクライナに関するデータを集めることが目的だ。

多要素認証を突破し、Teamsやクラウドを狙うサイバー脅威の動向

　Microsoftは次のように述べた（注1）。

　「Void Blizzardのサイバー諜報活動は、ロシア政府にとって関心の高い特定の組織を標的にする傾向があり、主に欧州と北米の政府や国防、輸送、メディア、非政府組織（NGO）、医療の分野を狙っている」

　オランダの情報機関AIVDとMIVDは声明で（注2）、この攻撃者グループがオランダの政府機関や国家警察を含む複数の組織に侵入し、従業員の連絡先情報を盗み出したと発表した。

　オランダ政府はLaundry Bearが防衛請負業者や航空宇宙企業、軍事装備を製造するその他の企業を標的にしており、「西側諸国の政府による軍需品の調達および製造に関する機密情報や、西側諸国からウクライナへの武器供与に関する情報を入手することが目的だ」と述べた。情報機関はこの攻撃者グループがウクライナ向けの武器を製造する企業のサプライチェーンに関する内部情報を把握しているようだと指摘した。

　Microsoftによると、この攻撃者グループは通信や医療、教育、メディア、非営利団体、輸送をはじめとするさらに幅広い分野の企業も標的にしている。2024年10月に攻撃者はウクライナの航空関連組織に侵入したようだ。このウクライナの組織には、以前ロシアの別の工作員たちが侵入を試みている。

Windowsの標準ツールを使って攻撃

　今回の発表はウクライナの補給路を妨害しようとするモスクワの強い執着をあらためて浮き彫りにした。米国と同盟国10カ国は2025年5月19日の週に、ロシアの有名な攻撃者グループ「Fancy Bear」がキエフへの武器の輸送を妨害しようとしていると警告した（注3）。ロシアは、2022年2月に地上侵攻を拡大して以降、サイバー作戦を一層激化させた（注4）。

　オランダ政府はLaundry Bearについて次のように述べた。

　「被害者の『Windows』にもともと備わっている標準の正規のツールを悪用するシンプルな攻撃手法を用いて、目立たずにうまく活動している。この攻撃者グループは検知が難しく、ロシアの支援を受ける他のグループとの区別も困難だ」

　攻撃者グループはLiving-off-the-land（環境寄生型）攻撃を用いて、組織のファイルに対する広範なアクセス権を得てしまった。Microsoftによると、このグループは正規のクラウドAPIを悪用し、侵害したユーザーがアクセス可能な全てのメールボックスのデータを一覧化した上で窃取しており、場合によっては他のユーザーから閲覧権限を付与されたメールボックスやフォルダも侵害の対象になるという。

　Microsoftはこの攻撃者グループの戦術が進化していると指摘する。同グループは2025年4月には、ターゲットのパスワードを盗むために、個別のスピアフィッシングメールの使用を開始した。また、数こそ多くないものの一部の侵入では「Microsoft Teams」のチャットメッセージや会議にもアクセスしていたという。

　Laundry Bearの主な目的はウクライナの軍事補給線の妨害とみられるが、それ以外にも任務があるようだ。オランダ政府によると、この攻撃者グループは、国際制裁によって現在ロシアが入手できない技術を製造している企業も標的にしている。ただし当局は「これらの諜報活動の正確な目的を断定することはできない」と付け加えた。

単純な多要素認証では防げない

　Microsoftは、Laundry Bearのような攻撃者を防ぎ、存在を検知するために有効な複数の対策を推奨した。それらの対策には、多要素認証やリスクベースのサインインポリシー、統合されたアイデンティティー管理システム、最小権限のアカウントによるアクセスを徹底する原則、メールアクティビティーログを定期的に取得する体制の確立が含まれる。

　Googleの脅威インテリジェンス部門のジョン・ハルトクイスト氏（チーフアナリスト）は「ロシアにとって最重要と思われる作戦でさえ、ありふれた攻撃手法に依存している点は注目に値する」と述べた。

　ハルトクイスト氏は「Cybersecurity Dive」に対して電子メールで次のように述べた。

　「今回の事実はロシアのサイバー諜報活動にとって、犯罪エコシステムが強力な戦力増強手段になっていることをあらためて示した。攻撃者は通常の犯罪行為の過程で得たアクセス権を日常的に利用している」

中間者スピアフィッシング攻撃とは

　Void Blizzardが使った中間者スピアフィッシング攻撃とはどのような手法だろうか。

　スピアフィッシング攻撃はフィッシング攻撃のうち、特定の個人や組織をねらったものだ。ユーザーに関する詳細な情報をSNSやWebサイト、公開情報、過去に漏えいした情報などから収集した後、ユーザーが信頼すると考えられる人物や組織になりすまして偽装メールを送り付ける。メールには偽のログインページのURLやQRコード、送金などの指示が記されている。マルウェアを含んでいる場合もある。

　中間者攻撃では、ユーザーとユーザーがアクセスするWebサイトの間の通信経路に攻撃者が割り込んで、通信内容を盗聴したり、改ざんしたりする。ユーザーは正規の相手と通信している（データを閲覧したり、入力したりしている）と思っているものの、実は攻撃者に筒抜けだ。

　中間者スピアフィッシング攻撃では以上の2つの手法を組み合わせる。まず、スピアフィッシングでユーザーを誘い込み、中間者攻撃のプロキシになる悪意のあるWebサイトやツールに誘導する。こうして認証情報やセッション情報が盗まれてしまう。

多要素認証が役に立たない？

　多要素認証を導入済みの場合、スピアフィッシング攻撃でIDとパスワードを盗み出しても、それだけでは認証を突破できない。ところが、中間者スピアフィッシング攻撃では、多要素認証が突破されてしまう場合がある。

　次のようにして攻撃が進む。まず、ユーザーがよく利用するサービスの正規のログインページだと誤認するようなURLをスピアフィッシングメールで送信して、プロキシサーバへ誘導する。ユーザーはプロキシサーバを経由して正規のサービスのログインページを見ているため、中間者攻撃を受けていることに気が付かない。このとき、SSL証明書も正規のものが表示される。

　ここでIDとパスワードを入力すると、プロキシサーバを経由して、正規のログインページに伝わる。正規のWebサイトが多要素認証のワンタイムパスワードの情報をユーザーに返してくると、ユーザーはワンタイムパスワードを入力して認証が成功する。

　プロキシサーバは正規のWebサイトから発行されるログイン状態を維持するための情報（セッションクッキー）も傍受する。すると攻撃者がセッションクッキーを再利用して正規のサービスにログインできるようになる。

　中間者スピアフィッシング攻撃を防ぐには、多要素認証のうち、FIDO2にのっとったものを採用すると良い。WebAuthnやそれを使ったパスキーだ。FIDO認証はフィッシング耐性を持つように設計されており、ユーザーが実際にアクセスしているWebサイトのドメインを認証時にチェックするため、中間者攻撃を使っても認証情報を盗み出すことが困難になる。その結果、ワンタイムパスワード型の多要素認証よりも突破されにくくなる。（キーマンズネット編集部）

出典：Microsoft, Dutch government discover new Russian hacking group（Cybersecurity Dive）
注1：New Russia-affiliated actor Void Blizzard targets critical sectors for espionage（Microsoft）
注2：Onbekende Russische groep achter hacks Nederlandse doelen（AIVD）
注3：Russia stepping up attacks on firms aiding Ukraine, Western nations warn（Cybersecurity Dive）
注4：Putin's Cyberattacks on Ukraine Rise 70%, With Little Effect（DARKREADING, TechTarget）

原文へのリンク