Skip to content

IoT OT Security News

  • Tracking
  • In The Era
  • CISA KEV
  • Security by Design
  • Statistics
  • About
IoT OT Security News

Microsoft Exchange Server の侵害と乗っ取り:OAuth を悪用してスパムメールを配信

Cyberattackers Compromise Microsoft Exchange Servers via Malicious OAuth Apps

2022/09/24 DarkReading — Microsoft Exchange Server を乗っ取り、スパムの拡散を目的とする攻撃者たちが、侵害したクラウド・テナントに、悪意の OAuth アプリケーションを展開している。今週の Microsoft 365 Defender Research Team の発表では、多要素認証 (MFA) が無効な高リスクのアカウントに対して、クレデンシャル・スタッフィング攻撃が行われた後に、安全ではない管理者アカウントを利用した、イニシャル・アクセス獲得の様子が詳述されている。

イニシャル・アクセスの獲得に成功した攻撃者は、悪意の OAuth アプリを作成し、メールサーバーに悪意の受信コネクタを追加していたという。

サーバーへのアクセスの変更

9月22日付のブログ記事で研究者たちは、「脅威アクターたちは、Exchange Server の設定を変更することで、攻撃の主目的であるスパムメールの送信を可能にしていた。このスパムメールは、偽の懸賞スキームの一部として送信され、受信者を騙してサブスクリプションにサインアップさせることを目的としていた」と指摘している。

脅威アクターの動機は、偽の懸賞のスパムメールを拡散し、賞品獲得のチャンスを提供するサブスクリプションに登録するよう被害者に促し、そのクレジットカード情報を窃取することにあったと、研究チームは結論付けている。

この調査チームは、「この手法により、ターゲットに不当な請求が行われた可能性は高いが、認証情報のフィッシングやマルウェアの配布といった、あからさまなセキュリティ脅威の証拠は無かった」としている。

また、上記のブログ記事では、バックドア/フィッシング攻撃/コマンド&コントロール (C2) 通信/リダイレクトなどの、さまざまなキャンペーンに OAuth アプリケーションを展開する、脅威アクターの増加が指摘されている。

Microsoft は、アカウントの認証情報を強化する MFA などの対策に加えて、条件付きアクセスポリシーや、継続的アクセス評価 (CAE) などの導入を推奨している。

研究チームは、「後続のスパムキャンペーンと連動する攻撃が、消費者の電子メールアカウントを標的にしているのに対し、この攻撃は、キャンペーンのインフラとして悪用するテナント企業を標的にしている。この攻撃は、被害を受けた企業にダイレクトに影響を与える攻撃で悪用が可能なセキュリティの弱点を、他の脅威アクターに対して露呈している」と付け加えている。

MFA は有用だが、追加のアクセス制御ポリシーが必要

Contrast Security の CISO である David Lindner は「MFA は素晴らしい試みであり、今回のケースでは、Microsoft を守ることができたのかもしれない。しかし、最近のニュースでは、すべての MFA が同じではないことが判明している。セキュリティ部門は、ユーザー名/パスワードの漏洩を阻止するところから出発し、その周辺に制御策を構築する時なのだ」と指摘している。

Lindner は、「セキュリティ・コミュニティは基本的なことから始め、最小特権の原則に従い、ビジネス主導で役割に応じた、適切なアクセス制御ポリシーを作成する必要がある。そして、MFA (FIDO2 が最適) /デバイスベース認証/セッション・タイムアウトなどの、適切な技術的制御を設定する必要がある」と述べている。

ユーザー組織は、不自然なログイン試行 (ボストンとダラスから 20分間隔で同じアカウントへのログインなど)/ブルートフォース試行/未承認システムに対するユーザーの試行などの、異常を監視する必要がある。

Lindner は、「認証システムを強化することで、一晩で組織のセキュリティの大幅な向上が可能になる」と述べている。

9月21日の「Okta 報告:クレデンシャル・スタッフィング・トラフィックが全ログイン試行の 34%を占める」では、このタイトルにあるように、驚きの調査結果が報告されていました。特に、東南アジアと米国では、2022 Q1 を通じて、クレデンシャル・スタッフィング・トラフィックが、通常のログイン試行を上回っていたそうです。また、9月20日の「MFA 疲れを狙う攻撃:フィッシングで根負けさせ Microsoft/Cisco/Uber などを陥落」では、MFA Fatigue (MFA 疲れ) と呼ばれる攻撃手法が、一般的になってきたと紹介されていました。MFA をめぐる攻防がホットになっていますが、MFA の周辺を整備すべき時ないのでしょう。

Share this:

  • Tweet
Like Loading...
Unknown's avatarAuthor AiototsecPosted on September 24, 2022October 4, 2022Categories AuthN AuthZ, CyberAttack, DataBreach, Literacy, Malware, ScammerTags 2FA, AuthN AuthZ, Contrast Security, Cyber Attack, Data Breach, Exchange Server, FIDO2, Literacy, Malware, MFA, Microsoft, Microsoft Exchange, OAuth, Phishing, Scammer, Spam Email

Post navigation

Previous Previous post: ISC BIND の深刻な脆弱性 CVE-2022-2906 などが FIX:CISA も警告
Next Next post: アメリカン航空でデータ侵害 (続報):1,700人以上の顧客と従業員に影響

Categories Dropdown

  • Twitter
  • Facebook
September 2022
M T W T F S S
 1234
567891011
12131415161718
19202122232425
2627282930  
« Aug   Oct »

Top Posts & Pages

  • Chrome/Edge のエクステンションを悪用:430万人を感染させた ShadyPanda のキャンペーンとは?
  • Microsoft Office ログイン時の Something Went Wrong:改善の第一弾とは?
  • Apache Tika Core の脆弱性 CVE-2025-66516 が FIX:悪意の PDF を介した情報漏洩
  • OpenSSH の脆弱性 CVE-2025-61984 が FIX:ProxyCommand 経由での RCE と PoC 公開
  • 70種類のペンテスト・ツールを統合:NETREAPER が提供するシンプルなメニュー・ベースの環境とは?
  • Apache Tomcat の複数の脆弱性が FIX:サービス拒否と認証バイパスの恐れ
  • React を用いるサービス 215 万件以上が攻撃対象:React2Shell 公開直後から積極的な悪用を確認
  • 7-Zip の RCE 脆弱性 CVE-2025-11001 が FIX:PoC 公開後に実環境での悪用が加速
  • 脆弱性 React2Shell CVE-2025-55182:PoC エクスプロイト公開により警戒高まる
  • ChatGPT で世界的なアクセス障害:Codex のトラブルにより会話履歴が一時的に消失

Categories

API APT Asia AuthN AuthZ BruteForce BugBounty CyberAttack DarkWeb DataBreach DataLeak DDoS DoubleExtortion Exploit Literacy LOLbin MageCartAttack Malware MCP MisConfiguration NHI Outage ParadigmShift Privacy Protection RaaS Ransomware RAT Repository Research Resilience Scammer SecTools SocialEngineering SupplyChain TTP Uncategorized Vulnerability WateringHoleAttack Zero Trust _AI/ML _CDN _Cloud _Container _CryptCcurrency _Defence _Education _Finance _Government _HealthCare _Human _ICS _IDS/IPS _Industry _Infrastructure _Mobile _OpenSource _PLC _Regulation _Retail _RTOS _Space _Statistics _Storage _Telecom _Transportation

Archives

  • December 2025 (46)
  • November 2025 (156)
  • October 2025 (177)
  • September 2025 (172)
  • August 2025 (165)
  • July 2025 (176)
  • June 2025 (192)
  • May 2025 (216)
  • April 2025 (192)
  • March 2025 (208)
  • February 2025 (181)
  • January 2025 (185)
  • December 2024 (172)
  • November 2024 (166)
  • October 2024 (184)
  • September 2024 (171)
  • August 2024 (183)
  • July 2024 (188)
  • June 2024 (156)
  • May 2024 (156)
  • April 2024 (155)
  • March 2024 (151)
  • February 2024 (131)
  • January 2024 (132)
  • December 2023 (116)
  • November 2023 (131)
  • October 2023 (124)
  • September 2023 (101)
  • August 2023 (111)
  • July 2023 (110)
  • June 2023 (113)
  • May 2023 (129)
  • April 2023 (127)
  • March 2023 (129)
  • February 2023 (118)
  • January 2023 (138)
  • December 2022 (106)
  • November 2022 (114)
  • October 2022 (120)
  • September 2022 (118)
  • August 2022 (133)
  • July 2022 (97)
  • June 2022 (117)
  • May 2022 (94)
  • April 2022 (112)
  • March 2022 (132)
  • February 2022 (105)
  • January 2022 (128)
  • December 2021 (111)
  • November 2021 (100)
  • October 2021 (110)
  • September 2021 (131)
  • August 2021 (105)
  • July 2021 (105)
  • June 2021 (103)
  • May 2021 (72)
  • April 2021 (58)

Categories

  • API (238)
  • APT (523)
  • Asia (398)
  • AuthN AuthZ (789)
  • BruteForce (66)
  • BugBounty (73)
  • CyberAttack (3,201)
  • DarkWeb (228)
  • DataBreach (550)
  • DataLeak (194)
  • DDoS (164)
  • DoubleExtortion (15)
  • Exploit (1,361)
  • Literacy (2,281)
  • LOLbin (57)
  • MageCartAttack (14)
  • Malware (1,421)
  • MCP (16)
  • MisConfiguration (57)
  • NHI (8)
  • Outage (106)
  • ParadigmShift (181)
  • Privacy (240)
  • Protection (649)
  • RaaS (121)
  • Ransomware (721)
  • RAT (777)
  • Repository (325)
  • Research (1,210)
  • Resilience (133)
  • Scammer (614)
  • SecTools (210)
  • SocialEngineering (47)
  • SupplyChain (404)
  • TTP (1,001)
  • Uncategorized (11)
  • Vulnerability (4,503)
  • WateringHoleAttack (4)
  • Zero Trust (382)
  • _AI/ML (306)
  • _CDN (4)
  • _Cloud (364)
  • _Container (73)
  • _CryptCcurrency (40)
  • _Defence (162)
  • _Education (8)
  • _Finance (160)
  • _Government (1,037)
  • _HealthCare (47)
  • _Human (51)
  • _ICS (85)
  • _IDS/IPS (182)
  • _Industry (221)
  • _Infrastructure (129)
  • _Mobile (162)
  • _OpenSource (1,385)
  • _PLC (39)
  • _Regulation (158)
  • _Retail (76)
  • _RTOS (6)
  • _Space (26)
  • _Statistics (415)
  • _Storage (70)
  • _Telecom (77)
  • _Transportation (56)
  • Tracking
  • In The Era
  • CISA KEV
  • Security by Design
  • Statistics
  • About
IoT OT Security News Blog at WordPress.com.
  • Reblog
  • Subscribe Subscribed
    • IoT OT Security News
      • Join 170 other subscribers
    • Already have a WordPress.com account? Log in now.
    • IoT OT Security News
    • Subscribe Subscribed
    • Sign up
    • Log in
    • Copy shortlink
    • Report this content
    • View post in Reader
    • Manage subscriptions
    • Collapse this bar
 

Loading Comments...
 

You must be logged in to post a comment.

    %d