Microsoft Entra ID を狙うクラウド侵害キャンペーン:レガシー認証の盲点とは?

Legacy Login in Microsoft Entra ID Exploited to Breach Cloud Accounts

2025/05/09 hackread — Microsoft Entra ID のレガシー認証プロトコルの脆弱性を悪用する標的型攻撃キャンペーンが、サイバー・セキュリティ企業 Guardz により検出された。このキャンペーンにおいて、攻撃者たちは、多要素認証 (MFA:Multi-Factor Authentication) などの最新のセキュリティ対策を回避しているという。

このキャンペーンは 2025年3月18日〜4月7日の間に発生したものであり、旧式のログイン方法である Basic Authentication Version 2 – Resource Owner Password Credential (BAV2ROPC) が悪用され、不正アクセスが実行された。それが、浮き彫りにするのは、クラウド環境における旧来の認証方法がもたらす危険性である。

Guardz によると、このキャンペーンで主な標的となったのは、金融/医療/製造/テクノロジーなどの複数の業界である。2025年4月にも、Microsoft Entra ID のアカウントが、広範囲にわたりロックアウトされるという問題を Hackread.com が報じているが、このインシデントは、それに続くものである。

そのときロックアウトは、Microsoft の内部エラーにより発生したリフレッシュ・トークンと、MACE Credential Revocation アプリの不具合が原因だった。Hackread の報告では、その原因は内部的な問題にあり、意図しない障害だとされていた。しかし、それとは対照的に、今回 Guardz が発見した事例では、攻撃者が Entra ID の脆弱性を意図的に悪用している。

キャンペーンの分析

Guardz Research Unit (GRU) の調査で判明したのは、Entra ID の互換性機能である BAV2ROPC を、攻撃者が悪用していたことだ。それは、旧来のアプリケーションにおいて、シンプルなユーザー名とパスワードで認証を可能にするものだ。

現代のインタラクティブなログイン・プロセスでは、MFA などのセキュリティ・チェックが必須とされているが、BAV2ROPC は非インタラクティブに動作する。この本質的な違いと突く攻撃者は、MFA/条件付きアクセス・ポリシー/ログイン・アラート/ユーザーの在籍確認などの、完全な回避を可能にする。その結果として、これらの最新のセキュリティ対策が、実質的に無効化されてしまう。

攻撃のタイムライン

この攻撃は、”初期化” と “持続的攻撃” の、2つフェーズを経て展開された。まず、3月18日〜20日にかけて発生した “初期化” フェーズでは、調査活動の頻度は低く、1日あたり約 2,709件の疑わしいログイン試行が確認されたのみだ。

続いて、3月21日〜4月3日にかけて発生した “持続的攻撃” フェーズでは、攻撃の勢いが急増し、1日あたりの試行件数は 6,444件を超え、前回と比べて 138%の増加を記録している。この急増は、攻撃者が特定の脆弱性を積極的に悪用し始めたことを示唆している。

Guardz Research によると、主に東ヨーロッパおよびアジア太平洋地域からの、9,000件を超える不審な Exchange ログイン試行が確認された。このキャンペーンでは、自動化されたクレデンシャル・スプレーやブルートフォース攻撃といった手法が用いられ、特に露出したレガシー・エンドポイントが狙われた。

攻撃の標的は、さまざまなレガシー認証ベクターに及び、90%以上が Exchange Online および Microsoft Authentication Library に集中していた。中でも顕著だったのが、管理者アカウントへの攻撃である。

Guardz の Elli Shlomo は、「このキャンペーンでは、管理者アカウントが特に標的とされていた。その一部は、8時間以内に 432の IP から、およそ 10,000回の試行を受けた」とブログ記事で述べている。

現時点では、このキャンペーンは、すでに沈静化している。しかし Guardz は、互換性のために BAV2ROPC/SMTP AUTH/POP3/IMAP4 などのプロトコルを継続して使用する多くの組織に、脆弱性が残っていることを警告している。これらの方式が悪用されると、MFA バイパス/条件付きアクセスの無視/非対話型のサイレント・ログインなどが可能になる。その結果として、隠れたバックドアが作られることになると、研究者たちは指摘している。

Guardz の CEO 兼共同創設者である Dor Eisner は、「このキャンペーンは、単なる1つの脆弱性に関する警鐘に留まらず、現代の脅威環境に対応できなくなった、古い技術を廃止する必要性について、広く認識させるものである」と、深刻さを強調している。

リスクの軽減に向けて、Guardz は各組織に対し、以下の対策を推奨している:

  • レガシー認証の監査および無効化
  • MFA を活用したモダン認証の徹底
  • 非対応の認証フローをブロックする、条件付きアクセス・ポリシーの実装
  • 異常なログイン試行の継続的な監視

Entra といえば、Microsoft における第一線の認証システムのはずですが、そこに取り込まれている Basic Authentication により、クラウド環境における旧来の認証方法がもたらす危険性が明らかになりました。ちょっと、NTLM に似た話ですね。よろしければ、カテゴリ AuthN AuthZ を、ご参照ください。