マイクロソフト、ロシアのハッカーが同社幹部をどのようにスパイしたか説明

Microsoftは先週、同社の企業システムがSolarWinds攻撃の背後にいるロシア国家支援のハッカーによって侵害されていたことを発見したと明らかにした。ハッカーは Microsoft の上級幹部チームの一部のメンバーの電子メール アカウントにアクセスすることができ、数週間から数か月間監視する可能性がありました。

Microsoftは金曜日遅くに証券取引委員会に初めて開示した際、攻撃者がどのようにしてアクセスを取得したのかについて多くの詳細を明らかにしなかったが、このソフトウェアメーカーは今回、ハッカーがどのようにして同社のセキュリティ保護を侵害したかについての予備分析を発表した。 Microsoftはまた、NobeliumまたはMicrosoftが「Midnight Blizzard」と呼ぶ天候をテーマにしたハッカーグループが他の組織を攻撃していると警告した。

Nobelium は当初、パスワード スプレー攻撃を通じて Microsoft システムにアクセスしました。この攻撃は、ハッカーが潜在的なパスワードの辞書を使用してアカウントを攻撃するブルート フォース攻撃です。さらに、侵害された非運用テスト テナント アカウントでは 2 要素認証が有効になっていませんでした。 Microsoftは、Nobeliumは「限られた数のアカウントを標的とするようにパスワードスプレー攻撃を調整し、検出を回避する試行回数を減らした」と述べた。

この攻撃では、このグループは「初期アクセスを利用して、Microsoft のエンタープライズ環境に高度なアクセス権を持っていた従来のテスト OAuth アプリケーションを特定し、侵害しました」。 OAuth は、トークンベースの認証用に広く使用されているオープン標準です。これは、Web サイトにパスワードを入力せずにアプリやサービスにログインできるようにするために、Web 全体で一般的に使用されています。 Gmail アカウントを使用してログインする可能性のある Web サイトについて考えてみましょう。ここでOAuthが登場します。

昇格されたアクセスにより、グループはより悪意のある OAuth アプリケーションを作成し、Microsoft のエンタープライズ環境、最終的には Office 365 Exchange Online サービスにアクセスするためのアカウントを作成して、電子メールの受信トレイにアクセスできるようになりました。

Microsoft のセキュリティ チームは次のように説明しています。「MidnightBlizzard は、これらの悪意のある OAuth アプリケーションを利用して、Microsoft Exchange Online および Microsoft ビジネス電子メール アカウントを認証します。

Microsoftは、標的にされてアクセスされた企業電子メールアカウントの数を明らかにしていないが、同社はこれまでに「当社の上級幹部チームのメンバーや、サイバーセキュリティ、法務、その他の部門の従業員を含む、Microsoft企業電子メールアカウントのごく少数のサブセット」であると説明していた。

Microsoftはまた、ハッカーが同社の上級幹部チームや他の従業員をどのくらいの期間監視していたのか、正確なスケジュールもまだ明らかにしていない。最初の攻撃は 2023 年 11 月下旬に発生しましたが、Microsoft は 1 月 12 日までそのことに気づきませんでした。これは、攻撃者が 2 か月近くにわたって Microsoft 幹部をスパイしていたことを意味する可能性があります。

Hewlett Packard Enterprise (HPE) は今週初め、同じハッカー集団が以前にも同社の「クラウドベースの電子メール環境」にアクセスしていたことを明らかにした。 HPEはプロバイダーの名前は明らかにしなかったが、この事件が「2023年5月までに発生した限られた数の[Microsoft] SharePointファイル流出」に「関連している可能性が高い」ことを明らかにした。

この攻撃は、MicrosoftがAzureクラウドに対する大規模な攻撃を受けてソフトウェアセキュリティを全面的に見直す計画を発表した数日後に発生した。これは、Microsoft が遭遇した最新のサイバーセキュリティ インシデントです。以前、2021 年には、Microsoft Exchange Server の脆弱性により 30,000 の組織の電子メール サーバーがハッキングされました。昨年、中国のハッカーがマイクロソフトのクラウドの脆弱性を利用して米国政府の電子メールに侵入した。 Microsoft は約 3 年前にも大規模な SolarWinds 攻撃の中心にあり、同じ Nobelium グループがこの恥ずかしい幹部電子メール攻撃の背後にありました。

Microsoft は、主要なテスト アカウントに 2 要素認証が欠けており、サイバーセキュリティ コミュニティに懸念を引き起こす可能性があることを認めました。これは Microsoft ソフトウェアの脆弱性ではありませんでしたが、テスト環境の設定が不十分であったため、ハッカーが Microsoft の企業ネットワークを静かに通過することができました。今週初め、CrowdStrike CEOのGeorge Kurtz氏はCNBCのインタビューで、「非運用テスト環境がどのようにしてMicrosoftの最高レベルの職員の侵害につながったのか?」と質問した。これからもまだまだあると思います。 」

さらなる情報が公開されましたが、いくつかの重要な詳細がまだ不明です。 Microsoft は、同じ非運用テスト環境が現在展開されている場合、「Microsoft のポリシーとワークフローを適用することで、MFA とプロアクティブな保護が確実に有効になり」、これらの攻撃に対する保護が強化されると主張しています。 Microsoft にはまだ説明すべきことがたくさんあります。特に、セキュリティの脅威に対する保護を強化するためにソフトウェアとサービスの設計、構築、テスト、実行の方法を真に改善していることを顧客に納得してもらいたい場合はそうです。

もっと詳しく知る：

https://www.microsoft.com/en-us/security/blog/2024/01/25/midnight-blizzard-guidance-for-responders-on-nation-state-攻撃/