Microsoft Provides Defense Guidance After Nation-State Compromise
2024/01/29 InfoSecurity — Microsoft が発表したのは、2024年1月初旬に同社のシステムを侵害した、ロシア国家に支援される攻撃者の詳細であり、また、この脅威に対抗する方法をユーザーに伝えるためのガイダンスである。2024年1月12日に Microsoft は、スパイ活動や情報収集活動を専門とするロシアの APT である Midnight Blizzard (別名 Nobelium/APT29/Cozy Bear) による、ネットワーク上での悪質な活動を検知した。
最初の不正アクセスは、パスワード・スプレー攻撃によるものであり、本番環境ではないレガシー・テスト用テナント・アカウントが侵害された。その後に、このグループは、侵害したアカウントのアクセス許可を悪用して、Microsoft のシニア・リーダーシップ・チームの電子メール・アカウントにアクセスした。
なお、このテスト・テナント・アカウントでは、多要素認証 (MFA) が有効化されていなかったと、同社は認めている。
Midnight Blizzardはどのように攻撃を難読化したか
Microsoft の最新投稿によると、Midnight Blizzard はパスワード・スプレー攻撃を仕掛けるために、住宅用プロキシ・ネットワークを使用していたことが明らかになっている。
それにより、正当なユーザーも使用する、膨大な数の IP アドレスを経由してトラフィックがルーティングされた。つまり、この脅威アクターは、確実に活動の難読化を達成し、この攻撃が成功するまでアクセスを持続できたことになる。
Microsoft の指摘によると、Midnight Blizzard のような脅威アクターは、悪意の活動を隠すために OAuth アプリケーションを使用することが多いとのことだ。また、今回のケースにおける攻撃者は、イニシャル・アクセスを利用して、Microsoft の企業環境への昇格アクセスを持つレガシー・テスト OAuth アプリを特定して侵害した。
続いて攻撃者たちは、新しいユーザー・アカウントを作成し、そのアカウントを使用して、自分たちが作成した悪意の OAuth アプリに同意を付与した。つまり、レガシー・テスト OAuth アプリを使用して、Office 365 Exchange Online の full_access_as_app ロールを付与し、メール・ボックスへのアクセスを達成した。
この国家攻撃に対する防御方法
Microsoft は、この種の攻撃によるリスクを軽減するために顧客が取るべき、さまざまな行動についてアドバイスしている。
悪意の OAuth アプリの特定:その時点における、テナント内の高度な特権を持つ全ての ID を特定し、不明/未使用の ID に属する特権について慎重に精査する。また、異常検知ポリシーを用いて悪意の OAuth アプリを特定し、管理対象外のデバイスから接続するユーザーに対して、条件付きアクセス・アプリ制御を実装する必要がある。
パスワード・スプレー攻撃からの保護:推奨されるアクションに含まれるのは、安全ではないパスワードの排除/MFA の実装/サインイン・アクティビティの確認/疑わしいサインイン試行の検出などを、従業員に対して教育することである。また、パスワード・スプレー攻撃で標的となったアカウントの、パスワード・リセットも必要となる。
ID アラートと保護の有効化:Microsoft Entra ID Protection は、Midnight Blizzard 攻撃に関連する脅威アクティビティを、ユーザーが識別できるようにするための、各種の検出機能を提供する。そこで検出されるものには、見慣れないサインイン・プロパティ/パスワード・スプレー攻撃/疑わしいサインインなどである。
疑わしい OAuth アクティビティの特定/調査:脅威アクターが攻撃に OAuth アプリを使用すると、後続のアクティビティにより兆候を把握しやすくなる。それらの兆候として挙げられるのは、多数の電子メールにアクセスする権限飲みを持つアプリ/クレデンシャルの更新後の Exchange Web Services API に対するアプリ API 呼び出しの増加/メールボックス・アイテムにアクセスする OAuth アプリを作成する不審なユーザーなどである。
このインシデントについて Microsoft は、現在も調査は継続中であり、詳細については適宜報告すると付け加えている。
なお、IT 企業の HPE は 1月19日の規制当局への提出書類で、2023年5月に同社のクラウドベースの電子メール環境が侵害された背後には、Midnight Blizzard がいたと推測する旨を述べている。この攻撃により、ハッカーは CyberSecurity/Go-to-Market/Business セグメントなどの部門に属する、個人の HPE メールボックスにアクセスすることが可能になったという。
この Midnight Blizzard による Microsoft 侵害では、かなりの深刻な被害が出たものと推測されます。文中にもあるように、HPE への影響も疑われているようです。それもあって、ちょっと異例という感じもしますが、Microsoft から、対 Midnight Blizzard ガイダンスが提供されました。よろしければ、Midnight Blizzard で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.