Microsoft 警告:クラウドなどを標的としたパスワード・スプレー攻撃が増加

Microsoft warns of rise in password sprays targeting cloud accounts

2021/10/31 BleepingComputer — Microsoft の DART (Detection and Response Team) によると、クラウドの特権アカウントやCレベル役員などを標的とした、パスワード・スプレー攻撃の増加を検出しましたとのことだ。パスワード・スプレーとは、ブルートフォース攻撃の一種であり、よく使われる少数のパスワードを使って、大量のアカウント・リストへのアクセスを試みるものだ。

このような攻撃では、アカウントを切り替えながら同じパスワードを使用し、簡単にアクセスできるアカウントを見つけ出し、パスワード・ロックアウトや悪意の IP ブロックなどの防御策が、作動しないようにする。

この戦術により、膨大なパスワード・リストを用いて、少数のアカウントにログインしようとする、古典的なブルートフォース攻撃で生じるような、アカウントロックが引き起こされる可能性は低くなる。

DART は、「この1年で、Microsoft の脅威情報チームも、攻撃手段としてのパスワードスプレーの使用が増加していることを確認している。最近では、クラウドの管理者アカウントが、パスワードスプレー攻撃の標的になるケースが増えているため、標的を理解することが重要だ」と述べている。DART では、このような攻撃に狙われた際に、アカウント情報の漏洩リスクを大幅に下げるために、すべてのアカウントで多要素認証 (MFA) を有効にするか、パスワードレス技術を採用することを推奨している。

Admin アカウントや高権限アカウントを狙うケースが増加

1年ほど前に、Microsoft の Director of Identity Security である Alex Weinert が明らかにしたように、パスワードスプレー攻撃は最も一般的な認証攻撃の一つであり、企業アカウント侵害の 3分の1以上を占めている。DART によると、最近のパスワードスプレー攻撃では、さまざまな権限を持つ管理者アカウントが狙われていることが確認されている。

最もよく狙われる管理者アカウントには、セキュリティ/Exchange/SharePoint/ヘルプデスク/請求書作成などがあるという。また、このような特権アカウント以外にも、Cレベル役員をや、機密データにアクセスできる人物を狙った攻撃も生じている。

DART は、「幹部職に就いているスタッフのために、例外的なポリシーを設けることは簡単だが、実際には、これらのアカウントが最も狙われている。構成上の弱点を作らないよう、必ず民主的な方法で保護を適用する必要がある」と付け加えている。

7月に NSA は、ロシアの国家支援ハッキンググループ Fancy Bear が、米国政府や国防総省を含む米国内外の組織に対して、Kubernetes クラスターからパスワードスプレー攻撃を仕掛けたことを明らかにしている。

また、今月の初めに Microsoft は、イランと連携した DEV-0343 と、ロシアが支援する Nobelium グループが、防衛技術企業や、マネージド・サービス・プロバイダー、クラウドサービス・プロバイダーを標的とした攻撃で、パスワードスプレーの使用を発見したと明らかにしている。

10月11日にも、「Microsoft 警告:イランのハッカーが防衛産業にパスワード・スプレー攻撃」という記事をポストしていますが、その続編的な感じの記事ですね。ブルートフォースへの対策は効きませんので、多要素認証を導入する必要があります。おそらく、こうした攻撃で利用されるパスワードは、ダークウェブで販売されているのでしょう。ここにも危険があることを、意識する必要があります。

%d bloggers like this: