Microsoft がクラウド・ロギング機能を拡張:中国政府に支援される Storm-0558 攻撃への対応

Microsoft Expands Cloud Logging to Counter Rising Nation-State Cyber Threats

2023/07/20 TheHackerNews — 7月19日 (水) に Microsoft が発表したのは、同社の電子メール・インフラを狙う最近のスパイ攻撃キャンペーンを受けて、ユーザー組織におけるサイバー・セキュリティ・インシデントの、調査を促進して可視化を高めるための、クラウド・ロギング機能を拡張するというものだ。同社は、国家に支援されるサイバー犯罪が進化し、また、攻撃の頻度が増加していることにダイレクトに対応するために、この変更を行うと述べている。この変更は、2023年9月から。すべての政府機関および民間企業の顧客に展開される予定だ。


Microsoft の VP of Security Compliance Identity and Management である Vasu Jakkal は、「今後の数ヶ月の間に、世界中の顧客に対して、より広範なクラウド・セキュリティ・ログへのアクセスを追加費用なしで提供する予定だ。この変更により、Microsoft Purview Audit を使用する顧客は、企業全体で生成される多様なクラウド・ログデータを、一元的に可視化できるようになる」と述べている。

この変更によりユーザーは、これまで Microsoft Purview Audit (Premium) のサブスクリプション・レベルのみで利用可能だった、電子メールへのアクセスに関する詳細なログなどの、30種類以上のログ・データにアクセスできるようになる見込みだ。その上で Microsoft は、Audit Standard の顧客のデフォルトの保存期間を、90日から 180日に延長すると発表した。

米国の CISA は、「この動きを歓迎する。重要なログ・データにアクセスできることは、サイバー侵入を迅速に軽減するために重要である。デザインの原則によるセキュリティを推進するための重要な前進である」と述べた。

先日に、Storm-0558 という名の中国由来の脅威アクターが、Microsoft Exchange 環境の検証エラーを悪用して、25件もの組織に侵入したことを公表した。この展開は、
その余波を受けてのものである。

この侵害の影響を受けた組織の1つである米国務省は、Microsoft Purview Audit でロギングを強化し、特に MailItemsAccessed メール・ボックス監査アクションを用いたことで、2023年6月に発生した悪意のメール・ボックス活動を検出できたと述べ、このインシデントを調査するよう Microsoft に促したとしている。

しかし、影響を受けた他の組織は、E5/A5/G5ライセンスに加入していなかったため、ハッキングを調査するために重要な各種ログへのアクセス権限を付与されたE5/A5/G5ライセンスに加入していなかったため、ハッキングされたことを検知できなかったと述べている。

しかし、影響を受けた他の組織には、ハッキングの調査に不可欠な、各種のログに対するアクセス権が付属する E5/A5/G5 ライセンスを有していないため、この侵害を検出できなかったケースもある。

Microsoft によると、この攻撃者は遅くとも 2021年8月以降に同社のアカウントに対して、OAuth アプリ攻撃/トークン窃取/トークン再生などを行っていたようだ。

Microsoft は侵入の調査を続けているが、ハッカーが認証トークンを偽造し、Exchange Online (OWA) や Outlook.com の Outlook Web Access を用いて、顧客の電子メール・アカウントへの不正アクセスを取得した方法について、つまり、非アクティブな MSA コンシューマ署名キーを取得した方法について、依然として説明していない。

先週に Microsoft は、「Storm-0558 キャンペーンにおける大半の目的は、標的となる組織の従業員が所有する電子メール・アカウントへの、不正アクセスを取得することだ。目的のユーザー認証情報にアクセスした Storm-0558 は、有効なアカウント認証情報を使って侵害したユーザーのクラウド・メール・アカウントにサインインする。その後に、この脅威アクターは、Web サービスを介してメール・アカウントから情報を収集する」とだけ述べている。

この Storm-0558 という脅威アクターですが、2023/07/11 の「Microsoft Account コンシューマ署名キーの悪用:中国由来のハッカーが米政府の Eメールを侵害」に登場しています。この記事では、「コンシューマー・キーである MSA と、エンタープライズ・キーである Azure AD は、別々のシステムから発行され管理されているが、この脅威アクターはトークン検証の問題を悪用して、Azure AD ユーザーになりすまし、企業メールにアクセスした」と解説されています。