Microsoft 365 アカウントが標的:130,000 台のデバイスで構成されるボットネットの脅威

A large botnet targets M365 accounts with password spraying attacks

2025/02/24 SecurityAffairs — 世界中の Microsoft 365 (M365) アカウントに対してパスワード・スプレー攻撃を仕掛けている、130,000 台のデバイスで構成されるボットネットの存在を、SecurityScorecard の研究者たちが発見した。この攻撃者は、多要素認証をバイパスすることで、ベーシック認証で保護されたアカウントをターゲットにしている。

対話型サインイン監視だけに依存する組織は、これらの攻撃に気付かないと、専門家たちは指摘している。ベーシック認証では、資格情報がプレーン・フォームで送信されるため、攻撃者による盗聴が可能になる。Microsoft が段階的に廃止しているベーシック認証だが、依然としてアクティブなセキュリティ・リスクとなっている。

このボットネットを操るオペレーターは、他のインフォスティーラー・ログから盗み出した資格情報を悪用し、大規模なアカウント攻撃を展開している。

SecurityScorecard が発行したレポートには、「これらの攻撃は、セキュリティ・チームが見落としがちな、非対話型サインイン・ログに記録されるものだ。このギャップを悪用する攻撃者は、検出を回避しながら、大規模なパスワード・スプレー攻撃を実行できる。この戦術は、世界中の複数の M365 テナントで確認されており、広範囲におよぶ継続的な脅威を示している」と記されている。

このレポートは、「非対話型サインイン・ログで、この動作の直接的な証拠を確認した。したがって、M365 テナントを運用している、すべてのユーザーに対して推奨されるのは、影響の有無に関する速やかな確認である。そして、影響が確認された場合には、ログ内の組織アカウントに属する、資格情報をローテーションすべきである」と付け加えている。

このボットネットは、盗み出した資格情報を悪用することで M365 アカウントをターゲットにして、MFA と条件付きアクセス・ポリシーを回避しながら、非対話型サインイン・ログにおける検出を最小限に抑えている。

SecurityScorecard のレポートは、「このボットネットは、他のインフォスティーラー・ログから盗み出した資格情報を用いて、各種の M365 アカウントに対して体系的な攻撃を試行し、アカウントのロックアウトを最小限に抑えながら、侵害の可能性を最大限に高めている。ベーシック認証による非対話型サインインにより、攻撃者は MFA の適用を回避し、Conditional Access Policies (CAP) をバイパスする機会を得ている。ログイン・イベントを、非対話型サインイン・ログに記録する方法を、この攻撃者は特定している。したがって、セキュリティの可視性とレスポンスが低下する可能性が生じている」と指摘している。

このボットネットの活動を専門家たちが発見したのは、Microsoft 365 テナントの非対話型サインイン・ログにおいて、多数の失敗したサインイン試行を調査しているときだった。この攻撃者は、ベーシック認証方法を使用していた。その攻撃では、ユーザー・エージェントとして “fasthttp” が使用されていたが、研究者たちが見つけ出したオンライン・レポートでも、同様のパスワード・スプレー攻撃に関する情報が提供されていた。

botnet

ネットフロー・データの分析により、主に SharkTech でホストされ、ポート 12341/12342/12348 を経由するトラフィックを持つ、波状攻撃を試行する IP が特定された。そして、中国にリンクされている2つの主要なホスティング・プロバイダーである、CDSC-AS1 と UCLOUD HK も攻撃に関与していることを、研究者たちは発見した。

SecurityScorecard は、中国と関係があるとされるグループが、この攻撃を試行していると述べている。同社が特定したのは、6 つの C2 サーバで同様のポートが開かれ、Apache Zookeeper が実行され、ボットネット操作が Kafka により管理されていることだ。

この、遅くとも 2024年12月から活動しているボットネットは、130,000 台以上のデバイスで構成されており、その C2 サーバは Asia/Shanghai Timezone に設定されている。

SecurityScorecard は、「このボットネットの活動が浮き彫りにするのは、ベーシック認証を廃止し、ログイン・パターンを積極的に監視し、パスワード・スプレー攻撃に対する強力な検出メカニズムを実装することの重要性である。非対話型サインイン・ログを悪用する攻撃者が、MFA や Conditional Access Policies (CAP) を回避しているという現実が示すのは、組織における認証戦略の再評価の必要性である。さらに、組織にとって必要なことは、アンダーグラウンド・フォーラムで漏洩した認証情報を監視し、侵害されたアカウントをリセットするために、迅速に行動することである」と締め括っている。

この攻撃の標的となっているベーシック認証ですが、Microsoft が段階的な廃止を進めており、CISA も MFA への切り替えを推奨しています。これらの攻撃は、セキュリティ・チームが見落としがちな非対話型サインイン・ログに記録されるものであり、検出が困難とのことです。ご利用のチームは、いま一度、ご確認ください。よろしければ、以下の関連記事も、Botnet で検索と併せて、ご参照下さい。

2022/06/29:CISA 勧告:Basic 認証から Modern 認証への切り替えよ
2022/09/01:Microsoft Exchange Online のベーシック認証が終了