Key Lesson from Microsoft’s Password Spray Hack: Secure Every Account
2024/03/25 TheHackerNews — 2024年1月に Microsoft は、ロシアのハッカー Midnight Blizzard (別名:Nobelium) によるハッキング被害を受けていたことを発表した。この件で特筆すべきは、Microsoft への侵入が、いかに容易であったかということだ。ハッカーたちは、ゼロデイ脆弱性を悪用した高度な技術的ハッキングではなく、単純なパスワード・スプレーという手法を使って、同社の古い非アクティブなアカウントの制御に成功した。このインシデントは、パスワード・セキュリティの重要性と、組織が全てのユーザー・アカウントを保護すべき理由を、思い知らせる結果となった。
パスワード・スプレー: シンプルで効果的な攻撃手法
ハッカーたちは 2023年11月に、パスワード・スプレー攻撃を使って Microsoft の企業アカウントに侵入した。パスワード・スプレーとは、複数のアカウントに対して同じパスワードを試すという、比較的単純な総当たり攻撃のテクニックの1つだ。攻撃者は、既知の脆弱なパスワードや漏えいしたパスワードをユーザー・アカウントに入力することで、Microsoft のシステム内のレガシーな非本番テスト・アカウントへのアクセスに成功した。侵害されたアカウントに、通常よりも高い権限が付与されていたケースと、ハッカーが権限を昇格させていたケースが推測される。
攻撃は7週間にも及び、ハッカーたちは、上級幹部やサイバー・セキュリティ・チーム/法務チームの従業員などの、企業内のごく一部のメールアカウントを侵害し、電子メールや添付文書を流出させた。2024年1月12日に、Microsoft のセキュリティ・チームはハッキングを検知し、ハッカーたちの活動を妨害し、それ以上のアクセスを阻止するために直ちに対策を講じた。
このような機密性の高い内部情報が、ハッカーに侵害されたという事実が浮き彫りにするのは、一見すると取るに足らないようなアカウントであっても、侵害により被害が拡大する可能性があることだ。攻撃者が必要としているのは、組織内における最初の足がかりを得ることである。
全てのアカウントを保護することの重要性
組織においては、権限の高いアカウントの保護が優先されることが多い。しかし、Microsoft への攻撃は、あらゆるユーザー・アカウントが攻撃者の潜在的な侵入口であることを示している。必ずしも高度な特権を持つ管理者アカウントでなくとも、権限の昇格に成功した攻撃者は、目的を達成できることを意味する。
いくつかの理由から、非アクティブな低権限アカウントの保護は、高権限の管理者アカウントの保護と同様に、極めて重要なことである。
第一に、攻撃者はネットワークへの潜在的な侵入口として、これらの保護されていない低権限のアカウントを狙うことがある。非アクティブなアカウントは、パスワードが脆弱であったり古かったりする可能性が高く、ブルートフォース攻撃の標的になりやすい。ネットワークの侵入に成功した攻撃者は、これらのアカウントを使用してネットワーク内を横移動し、権限を昇格させて機密情報にアクセスする。
第二に、非アクティブ・アカウントはセキュリティ対策が軽視される傾向にあるため、ハッカーにとって格好の標的となっている。これらのアカウントへの強力なパスワード・ポリシーや多要素認証の導入を見過ごすことで、悪用されやすい状態になっている可能性がある。低権限のアカウントであっても、攻撃者の視点から見ると、組織内の特定のシステムやデータへの、貴重なアクセスの足がかりになり得る。
パスワード・スプレー攻撃を防ぐには
Microsoft へのハッキングは、全てのユーザー・アカウントのセキュリティを優先するよう、あらゆる組織に対して警鐘を鳴らすものである。その重要性の有無にかかわらず、全てのアカウントに対して、強固なパスワード保護対策を講じる必要性が浮き彫りになった。侵害のリスクを減らすには、強固なパスワードポリシーの導入/多要素認証の有効化/定期的な Active Directory 監査の実施/漏えいしたパスワードの継続的なスキャンなどを実行することが必要だ。
- Active Directoryの監査: Active Directory の監査を定期的に実施することで、未使用のアカウント/非アクティブなアカウント/パスワード関連の脆弱性などを可視化できる。このような監査により、Active Directory の貴重なスナップショットが提供されるが、継続的なリスク軽減の努力により補完されるべきものでもある。組織の非アクティブな、あるいは古いアカウントに対する可視性が不足している場合には、エクスポート可能なレポートをインタラクティブに作成する、 Specops Password Auditor などの無料の監査ツールを使用して、読み取り専用の監査を検討すべきである。
- 強固なパスワードポリシー: 一般的な用語によるパスワードや、qwerty や 123456 のような推測可能なパスワードをブロックするための、強力なパスワード・ポリシーを実施すべきだ。長くてユニークなパスワードやパスフレーズを導入することは、ブルートフォース攻撃に対する強力な防御策となる。そのためには、組織や業界に関連する用語をブロックする、カスタム辞書の作成も考慮すべきだ。
- 多要素認証(MFA): MFA を有効化することで、ハッカーに対する認証上の障壁が追加される。ただし、MFA は防御の重要なレイヤーとして機能するが、確実ではないため、強力なパスワード・セキュリティと組み合わせる必要がある。
- 漏洩したパスワードのスキャン:強力なパスワードを設定したとしても、個人デバイス/Web サイト/セキュリティが脆弱なアプリなどで、そのパスワードが使い回されると、漏えいしてしまう可能性が高まる。漏洩したパスワードを継続的にスキャンするツールを、Active Directory 上に導入することで、潜在的なリスクの特定/軽減が促進される。
ハッカーの攻撃経路を継続的に遮断する
今回の Microsoft へのハッキングにより、もう一つ浮き彫りになったのは、全てのアカウントに対して、強固なパスワード保護対策を講じる必要性だ。安全なパスワード・ポリシーは今や不可欠であり、レガシー・アカウント/非本番アカウント/テスト・アカウントなどを含めた、全てのアカウントに適用する必要がある。さらに、既知の漏洩した認証情報をブロックすることで、アクティブな攻撃に対する保護レイヤーを追加できる。
2024年1月に発生した、Midnight Blizzard による Microsoft 侵害の分析が進んでいるようです。この件に関する直近の記事は、2024/03/08 の「Microsoft の警告:ロシアン・ハッカーの侵入によりソースコードが盗まれた」となっています。なお、このインシデントについては、”Microsoft + Midnight Blizzard + 2024/01” で検索していただけると、その経緯が参照できます。
IoT OT Security News 
You must be logged in to post a comment.