Microsoft の報告：ロシア由来の Midnight Blizzard にパスワード・スプレーで侵入された

Russia-Linked Midnight Blizzard Apt Hacked Microsoft Corporate Emails

2024/01/20 SecurityAffairs — Microsoft の警告は、同社の企業メール・アカウントの一部が、ロシア由来のサイバー・スパイ集団 Midnight Blizzard に侵害されたというものであり、法執行機関と関連規制当局への通知も完了しているという。Midnight Blizzard グループ (別名 APT29／Cozy Bear／Nobelium／BlueBravo／The Dukes) は APT28 と連携するかたちで、民主党全国委員会へのハッキングや、2016年の米国大統領選挙への攻撃に関与していたという。このグループは、Microsoft を含む 18,000 以上の顧客組織を襲った、2020年の SolarWinds サプライチェーン攻撃でも知られている。

2024年1月12日に侵入を発見した Microsoft は、直ちにセキュリティ侵害の調査を開始した。そして同社は、脅威アクターを締め出し、攻撃が緩和されたことを確認したという。

SEC に提出された Form 8-K 書類には、「2024年1月12日に Microsoft が検出したのは、2023年11月下旬から、国家に支援される脅威アクターが、当社のシニア・リーダーシップ・チームのメンバーたちのアカウントに、不正にアクセスしていたことだ。具体的に言うと、サイバー・セキュリティ／法務などの従業員を含む、一部の従業員の電子メール・アカウントにも不正アクセスが生じ、情報の流出が発生していた。このインシデントの影響を判断するため、アクセスされた情報を調査している。また、インシデントの範囲についても調査を続けている」と記されている。

Microsoft は、この攻撃について、ロシアのサイバースパイ組織 Midnight Blizzard によるものだとしている。

この、国家に支援されたハッカーは、2023年11月下旬にパスワード・スプレー攻撃で同社のシステムに侵入し始めた。パスワード・スプレー攻撃とは、ブルートフォース攻撃の一種であり、アプリケーション上のデフォルト・パスワード付き、ユーザー名のリストに基づく総当たりログインを実行するものだ。

この攻撃シナリオにおける脅威アクターは、アプリケーション上の多種多様なアカウントに対して、１つのパスワードを使用する。したがって、１つのアカウントに対して施行される、多数のパスワードによる総当たり攻撃を阻止するための、アカウント・ロックアウト機能が回避されてしまう。

Microsoft が明らかにしたのは、従来からの非運用テスト・テナント・アカウントにアクセスした攻撃者が、そのアカウントの権限を使用して、Microsoft の企業電子メール アカウントの一部にアクセスしたことである。この攻撃者は、同社のシニア・チームのメンバーと、サイバーセキュリティ／法務などの従業員のアカウントにもアクセスしたという。

さらに同社は、攻撃者が一部の電子メールと添付文書を流出させたことを認めた。この APT グループは、Midnight Blizzard の活動に関して Microsoft が実施した調査の結果を収集するために、一連の電子メール・アカウントをターゲットにしていた。 したがって Microsoft は、影響を受けたと思われる従業員に通知している。

Microsoft が指摘しているのは、同社の製品やサービスの脆弱性が、攻撃者に悪用された訳では無いという点だ。さらに Microsoft は、顧客環境／本番システム／ソースコード／AI システムに、攻撃者がアクセスした証拠はないと付け加えている。

Microsoft は、「今回の攻撃は、Microsoft の製品やサービスの脆弱性を突いたものではない。現在までのところ、脅威アクターが、顧客環境／本番システム／ソースコード／AI システムにアクセスしたという証拠はない。何らかの対応が必要な場合は、顧客に通知する。この攻撃は、Midnight Blizzard のような、十分な資金を持つ国家レベルの脅威アクターが、すべての組織にリスクをもたらし続けていることを、浮き彫りにしている」と述べている。

Form 8-K を参照した限りでは、Microsoft の業務に対して、このインシデントが重大な影響を及ぼしたことはないようだ。同ドキュメントには、「当社は、このインシデントが、当社の財政状態または経営成績に重大な影響を及ぼす可能性について、現時点では判断していない」と記されている。

このインシデントから得られた教訓は、漏洩したアカウント情報が、パスワード・スプレー攻撃から十分に保護されていなかった点にある。このような攻撃を軽減する効果的なテクニックとしては、多要素認証 (MFA) の有効化／強力なパスワードの使用／CAPTCHA の活用／IP レートの制限／アカウントロックアウトの実装／ログの監視などがある。

ここは大丈夫と思っていた、Microsoft 内のレガシー・システムで、パスワード・スプレー攻撃による認証突破が発生してしまったようです。この攻撃は、ブルートフォースとは異なり、不正な認証試行を抑制するメカニズムが機能しません。おそらく。放置されていたレガシー・システムという盲点が、狙われたのだと思います。ロシアの APT と Microsoft の戦いも、終わりのない戦いのようです。