Microsoftの署名鍵が漏えい まさかの穴があった

Microsoftアカウントの署名鍵を盗み出し、それを使ってOutlookのメールアカウントに不正アクセスする攻撃手法が明らかになった。署名鍵は盗み出せないはずだ。何が起こったのだろうか。

[David Jones，Cybersecurity Dive]

　あるサイバー攻撃グループは国務省の電子メールアカウントを乗っ取り、機密情報を盗み出した。報道によると、Outlookのメールアカウントが攻撃されたという。

驚くべき手法で攻撃した

　攻撃の背後にいたのは中国を拠点とする脅威グループ「Storm-0558」だ（注1）。Microsoftアカウントの署名キーを盗み出し、2023年初めに米国国務省のメールを含む20以上の顧客を侵害する目的で、このキーを使用した。

　2023年9月6日にMicrosoftは攻撃の詳細を発表した。そこには驚くべき攻撃手法が記されていた。

　「当社でセキュリティの問題を引き起こしたMicrosoftアカウントの署名鍵は、2021年4月のクラッシュダンプで漏えいしたものだ」（Microsoft）（注2）。

　Microsoftは機密情報を非表示にしたクラッシュダンプも公開した。ユーザーの署名キーが公開されたままになっていて、その原因を究明するために行われた内部捜査の一環だ。

Microsoftのセキュリティは大丈夫なのか

　今回の調査結果はMicrosoftのセキュリティ対策を問うものとなり、同社製品のセキュリティに対する懸念を高めるに違いない。

　この攻撃の後にMicrosoftは激しい批判にさらされ、セキュリティログへのアクセスに対して顧客に追加料金を課すという方針を変更するよう迫られた（注3）。以上が、政府当局がハッキングを発見し、Microsoftに通知して起こった出来事のいきさつだ。

　Microsoftは通常、バックグラウンドチェックや専用アカウント、セキュアアクセスワークステーション、ハードウェアトークンデバイスを使用した多要素認証などを含む複数レベルの管理によって、高度に制限され隔離された本番環境を維持しているという。

　同社によると、Microsoftが提供するユーザー企業向けの環境では安全なデバイスと認証技術を使用することで、メールや電子会議、ウェブ検索、その他のコラボレーションツールを安全に利用できるようにしているという。これらの重要なツールに問題があると、スピアフィッシングやトークンを盗むためのマルウェア、その他のアカウント侵害の手段に対してユーザーを脆弱（ぜいじゃく）にする恐れがある。

　Microsoftによると、クラッシュダンプにはMicrosoftアカウントの署名キーは含まれていないはずだった（注4）。だが、「競合状態」によってキーがクラッシュダンプに含まれてしまい、同社のシステムはこの問題を検出できなかったという。その後、クラッシュダンプは隔離された本番環境から、Microsoftの通常のデバックプロセスによって、インターネット接続された同社のネットワーク上のデバッグ環境に移動された。

　署名キーに関連するより大きな問題を解決するために（注5）、同社はクラッシュダンプの扱いを変更するなど幾つかの措置を講じた。

問題は解決していないかもしれない

　プライバシーに関連するサービスを提供するHoprのトム・マクナマラ氏（創設者兼CEO）は、問題が解決されたかどうかについて次のように述べた。

　「この脅威グループは追加の標的を見つける能力がある。最初の侵害が起きたときのタイムラインを見ると、より大きな疑問が生まれる。彼らは他にどれだけのクラッシュダンプファイルを見つけたのだろうか。恐らく過去2年間に1つ以上は見つけているだろうし、さらにさかのぼって考える必要があるかもしれない」

　Wizのアミタイ・コーエン氏（攻撃ベクトルインテルリード）も、攻撃者による未検出の侵害が他にもあるかどうか疑問に感じている。

　「攻撃範囲が『Exchange Server』や『Microsoft Outlook』にとどまらず、顧客が所有する他のアプリケーションにまで広がっていないと言い切れるだろうか」（コーエン氏）

　Forrester Researchのジェフ・ポラード氏（バイスプレジデント兼主席アナリスト）によると、Microsoftとその顧客が懸念しているのは「追加のデータにアクセスされたのかどうか」「エンジニアから漏れたものがあるとすれば何なのか」という点だ。一方で、ポラード氏は、この事件に対するMicrosoftの透明性を称賛した。

　「この種の活動をリアルタイムで検出し、クラッシュダンプにキーを保持する問題や、今回起きたその他の制御の不具合を発見できる企業は世界を見渡してもほとんど存在しないだろう」

出典：Microsoft crash dump exposed key that led to US cabinet email hacks, investigation finds（Cybersecurity Dive）

注1：Microsoft warns China-linked APT actor hacked US agency, other email accounts（Cybersecurity Dive）

注2：Results of Major Technical Investigations for Storm-0558 Key Acquisition（Microsoft）

注3：Microsoft offers free security logs amid backlash from State Department hack（Cybersecurity Dive）

注4：Microsoft hardens key issuance systems after state-backed hackers breach Outlook accounts（Cybersecurity Dive）

注5：Analysis of Storm-0558 techniques for unauthorized email access（Microsoft）