Microsoft 警告:Outlook と Azure AD を悪用するフィッシング・キャンペーン

Microsoft warns of multi-stage phishing campaign leveraging Azure AD

2021/01/27 BleepingComputer — Microsoft の脅威アナリストたちは、盗み出した認証情報を用いてターゲットのネットワークに悪意のデバイスを登録し、そのデバイスを用いてフィッシング・メールを配信するという、大規模かつ多段階なマルチステージ・フィッシング・キャンペーンを発見した。報告書によると、この攻撃は、多要素認証 (MFA) 保護が施されていないアカウントでのみ発生しており、それが要因となったことで 乗っ取りが容易になっていた。

最初の段階では、文書の確認と署名を促す DocuSign をテーマにしたメールが送信され、そこから受信者のメール認証情報が盗み出された。そのメールに埋め込まれたリンクからは、Office 365 のログインページを模したフィッシング URL が表示され、被害者のユーザー名があらかじめ入力し、信頼させて騙すという手口が用いられた。

あってはならない Spam Filter ルール

Microsoft のテレメトリー・データによると、この攻撃の第1段階では、主にオーストラリア/シンガポール/インドネシア/タイに所在する企業がフォーカスされた。
攻撃者は、リモートで働く従業員や、保護が不十分なマネージド・サービス・ポイント、そして、厳格なセキュリティ・ポリシーを持たないインフラなどを侵害しようとした。

Microsoft のアナリストは、異常なメールボックス・ルールの作成を検出することで、この脅威を発見できた。このルールは、脅威アクターがメールボックスをコントロールできるようになった直後に追加され、疑惑を招くような IT 通知メッセージを排除するためのものだ。報告書には、「攻撃者は、リモート PowerShell 接続を利用して、New-InboxRule コマンドレットによりメールボックス・ルールを実装し、電子メールメッセージの件名や本文に含まれるキーワードに基づき、特定のメッセージを削除していた。

このメールボックス・ルールにより、危険にさらされたユーザーに送信される不達レポートや IT 通知メールが削除され、彼らに疑念を抱かせないようにしていた。その後の調査により、複数の組織の 100以上のメールボックスが、Spam Filter という名前の悪意のメールボックス・ルールにより侵害されていたことが判明した。

Azure AD の登録

認証情報を手に入れた攻撃者は、自分のマシン (Windows 10) に Outlook をインストールし、標的ユーザーのメール・アカウントにログインした。この行為により、攻撃者の悪意のデバイスが、標的企業の Azure Active Directory に自動的に接続され、登録が行われた。つまり、盗み出された認証情報でログインが行われたことで、Outlook の初回起動エクスペリエンスを受け入れた可能性が高いと Microsoft は指摘し、Azure AD の MFA ポリシーが設定されていれば、不正な登録は許可されなかっただろうと付け加えている。

攻撃者のデバイスが組織のネットワークに追加されると、脅威アクターは第2段階へと進み、標的となる企業の従業員/契約者/サプライヤー/パートナーなどの、外部のターゲットにメールを送信した。これらのメッセージは、信頼できるワークス・ペースから送信されているため、セキュリティ・ソリューションによりフラグが立てられることもなく、攻撃の成功率を高めるための要素を取り込んでいる。また、不正なデバイスを登録することで、ラテラル・フィッシングを容易にするような、ポリシーを適用することも期待されたはずだ。

Azure AD は、デバイスが認証を試みたときにアクティビティ・タイムスタンプをトリガーするが、それは防御側にとって、不審な登録を発見する2つ目の機会となった。
この登録が気づかれない場合には、盗み出された有効な認証情報が Outlook 上で使用され、ドメインの認識された信頼できる部分からメッセージを送信できる。

フィッシング・メッセージの第2波は、第1波と比較してはるかに規模が大きく、 SharePoint をテーマにした Payment.pdf を添付する、8,500件以上のメールが送信された。このフィッシング・キャンペーンは巧妙であり、中程度の成功を収めたが、標的となった企業が、以下のような対策を行っていれば、これほどの被害は生じなかっただろう。

  • 全社員が Office 365 アカウントで MFA を有効にする。
  • 受信箱ルールの作成を検知できる、エンドポイント保護ソリューションを導入する。
  • Azure AD のデバイス登録を綿密に監視する。
  • Azure AD への登録で MFA を必須にする。
  • 組織のネットワーク全体でゼロトラスト・ポリシーを採用する。

ひとことで言って、メールボックス・ルールを攻撃者が制御することで、検知された異常の通知が止められてしまうという話です。動物でいえば、神経系が麻痺した状態なのですから、いくらでも攻撃を仕掛けられてしまいます。多重化という意味で考えるなら、メールの異常をメールで伝えるというコト自体に、無理があるのかもしれません。

%d bloggers like this: