MicrosoftのOWAを悪用する新手の攻撃手法、セキュリティ企業が報告

何者かがMicrosoftの「Outlook Web App」(OWA)を悪用して、ログイン情報を盗んだりバックドアを通じて被害者の環境にアクセスしたりできる状態を確立していた。

» 2015年10月08日 07時19分 公開
[鈴木聖子ITmedia]

 セキュリティ企業の米Cybereasonは、Microsoftの「Outlook Web App」(OWA、現在の名称はOutlook on the Web)を標的とする新手のAPT攻撃の手口が見つかったと発表した。

 OWAはWebブラウザ経由でメールや連絡先にアクセスできるサービス。Cybereasonによると、ある顧客の環境で不審な挙動が検出され、この顧客のエンドポイント全1万9000カ所にCybereasonのプラットフォームを展開して調査した。

 その結果、何者かがOWAを悪用してログイン情報を盗んだり、バックドアを通じて被害者の環境にアクセスしたりできる状態を確立していたことが分かった。攻撃者はこの手口で大量のログイン情報を入手し、組織の環境を制御していたという。

Cybereasonの報告書

 この攻撃には、OWAに不正なDLLを仕込む手口が使われていた。問題のDLLは署名がなく、正規のDLLとは違うディレクトリから読み込まれていたことが判明。攻撃者は数カ月もの間検出されないまま、同組織に対する不正なアクセスを続けていたという。

 攻撃に使われていたマルウェアは特段高度なものではなかったとされ、未解決の脆弱性が悪用されたわけでもなかった。「OWAの唯一の『弱点』は、署名のないDLLをロードしてしまうことだ。これはほとんどのサーバとWindowsベースマシンでデフォルトの挙動となっている」とCybereasonの研究者は解説する。

 同社は「OWAではサーバが社内と社外に露呈されることから理想的な攻撃プラットフォームが形成される」とも指摘し、この手の攻撃を検出できる製品として同社の「Endpoint Detection and Response」(EDR)を紹介している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ