Microsoft、約25の顧客に影響を与えたStorm-0558によるハッキング被害の原因を公表セキュリティニュースアラート

Microsoftは、複数の政府顧客を含む全世界の約25の顧客が、脅威グループ「Storm-0558」によってハッキングされた件について原因を報告した。

» 2023年09月08日 07時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Microsoftは2023年9月6日(現地時間)、中国系のサイバー攻撃グループ「Storm-0558」がMicrosoftアカウントのコンシューマーキーを入手し、「Outlook on the web」にアクセスするためのトークンを偽装した方法について情報を公開した。

 脅威アクターは窃取したキーを利用して米国政府機関のアカウントを含めて25の組織を侵害していったと考えられている。

関連記事

MicrosoftはStorm-0558によるセキュリティ侵害について詳細を報告した(出典:MicrosoftのWebサイト)

Storm-0558によるセキュリティ侵害の原因とは?

 Microsoftの本番環境は従業員であっても簡単にアクセスできるようにはなっていない。Microsoftは、Storm-0558が不正アクセスを実行できた背景として、想定外のデータと利便性のために導入した機能、ドキュメント化の不手際など、複数の要因が重なった結果だと説明している。

 まず、Microsoftアカウントのコンシューマーキーは2021年4月に発生したコンシューマー署名システムクラッシュによって生成されたクラッシュダンプに含まれていたことに端を発している。本来、こうしたクラッシュダンプにコンシューマーキーが含まれることはあってはならないが、この時点では競合条件によってコンシューマーキーが含まれていた。なお同問題は既に修正済みとなっている。

 クラッシュダンプデータはインターネット接続されている他のデバッグ環境に移された。この処理自体は本来の作業プロセスであり問題ないとされている。しかし、Storm-0558はMicrosoftのエンジニアのアカウントを窃取し、このデバッグ環境に侵入してクラッシュダンプを経由し、Microsoftアカウントのコンシューマーキーを入手することに成功した。

 Microsoftアカウントのコンシューマーキーでは企業メールにアクセスできないはずだが、ここでも問題が発生していたことが指摘されている。Microsoftは2018年9月にコンシューマーと企業の双方でアプリケーションに対応する共通のキーメタデータ公開エンドポイントを導入している。しかし、メールシステムにおいては鍵のスコープ検証を実施する必要があるというドキュメントの更新を見落としており、コンシューマーキーで企業メールにアクセスできる状態になっていたとされている。

 こうした一連の問題が重なったことで、最終的にStorm-0558が企業メールにアクセスできる状況が発生していた。

 Microsoftはこのインシデントの分析中および分析の後で以下の強化対策を実施したと説明している。

  • クラッシュダンプに署名キーが含まれるケースが存在する競合条件を特定し修正
  • クラッシュダンプに誤って含まれる鍵について予防、検出、対応を強化
  • クレデンシャルスキャンを強化し、デバッグ環境における署名キーの存在をより適切に検出できるように改善
  • 認証ライブラリの鍵スコープ検証を自動化するライブラリの拡張と関連文書を明確化

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ