Exchange をハッキングする中国の Storm-0558：米政府と Microsoft が共同で分析

US cyber safety board to analyze Microsoft Exchange hack of govt emails

2023/08/11 BleepingComputer — 米国土安全保障省の CSRB (Cyber Safety Review Board) は、米政府機関で使用される Microsoft Exchange アカウントが、最近になって中国からハッキングされていることを受け、クラウド・セキュリティの実践について詳細な審査を実施することを発表した。CSRB は官民が協力する機関であり、重大な事象に対する理解を深め、根本的な原因を見極め、サイバー・セキュリティに関する情報に基づく提言を行うための、詳細な調査の実施を目的として設立された。

今回の調査で CSRB が目的とするのは、クラウドにおける ID 管理と認証を強化する方法を、政府／産業界／CSP (Cloud Service Providers) などで検証することで、すべての利害関係者にとって実現可能な、サイバー・セキュリティ・アドバイザリを作成することだ。

それらのアドバイザリは、CISA と現米国政権に対して提出され、同政権は政府のシステムとアカウントを保護するために、どのような措置を取るべきかを決定する予定だ。

国土安全保障省の Alejandro Mayorkas 長官は、「米国民にサービスを提供するために、あらゆる組織がクラウド・コンピューティングへの依存度を高めている。したがって、クラウドのセキュリティは、電子商取引プラットフォームや通信ツールから重要インフラに至るまで、最も重要なシステムのバックボーンとなっている」と述べている。

Storm-0558 による Microsoft Exchange のハッキング

2023年7月中旬に Microsoft が報告したのは 、盗まれた Microsoft の消費者署名キーから偽造された認証トークンを使用する、中国のハッキング・グループ Storm-0558 が、米国／西ヨーロッパの政府機関を含む 25の組織の、電子メールアカウントに侵入したことだった。

この中国の脅威アクターは、すでに盗まれていたキーを悪用して、Exchange Online (OWA) の Outlook Web Access に存在する、GetAccessTokenForResource API 関数のゼロデイ脆弱性を介して認証トークンを偽造した。

そして、これらのトークンを用いて Azure アカウントになりすまし、多数の政府機関や組織のメール・アカウントにアクセスしてメールを窃取していた。

Microsoft が避難を浴びたのは、これらの攻撃を受けた後に、同社の顧客に適切なロギングを無料で提供することもなく、攻撃の検知に役立つロギング・データの取得を目的として、追加ライセンスの購入を顧客に勧めたからである。

その後に、Microsoft と CISA は共同で、攻撃を検知するために必要な重要なロギング・データを特定し、 それらを全ての顧客に対して、無料で提供していると述べている。

Microsoft は、盗まれた署名キーを失効させ、API の欠陥を修正することで、さらなる悪用を防止した。しかし、このインシデントに関する調査では、どのような手口でハッカーが、署名キーを入手したのかは明らかになっていない。

最初に侵入が発見された２週間後に Wiz の研究者たちは、Storm-0558 による不正アクセスは、Microsoft OpenID 2.0 で動作する Azure AD アプリの対象に含んでおり、以前に Microsoft が報告した範囲よりも広範であると報告した。

その一方で Wiz は、中国のハッカーが漏洩したキーを悪用して、さまざまな Microsoft アプリおよび、 Microsoft アカウント認証をサポートする顧客アプリに、不正にアクセスした可能性があることを明らかにした。

米国政府は、この情報漏えいの深刻さと特質を考慮し、また、現時点で究明されていない問題点や、必要とされる広範な調査の実施などを考慮した上で、このインシデントの包括的なレビューを CSRB に行うよう命じた。

これまでの CSRB レビューに含まれるものとしては、2021年に発生し広範な影響を及ぼした、Log4j の一連の脆弱性に関するものがある。また、Fortune 500 企業への侵入を繰り返したハッキング・グループ Lapsus$ についても、そこで用いられた SIM スワッピングやソーシャル・エンジニアリングといった、シンプルかつ効果的なテクニックを調査している。

たしかに、このところの Microsoft は、そのセキュリティの要である Azure AD を集中的に攻撃され、原因の究明などが追いつかない状況に陥っているように思えます。執拗な攻撃を仕掛けている Storm-0558 の他にも、Anonymous Sudan なども調査されるのでしょうか。