Microsoftは、複数の政府顧客を含む全世界の約25の顧客が、脅威グループ「Storm-0558」によってハッキングされた件について原因を報告した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Microsoftは2023年9月6日(現地時間)、中国系のサイバー攻撃グループ「Storm-0558」がMicrosoftアカウントのコンシューマーキーを入手し、「Outlook on the web」にアクセスするためのトークンを偽装した方法について情報を公開した。
脅威アクターは窃取したキーを利用して米国政府機関のアカウントを含めて25の組織を侵害していったと考えられている。
Microsoftの本番環境は従業員であっても簡単にアクセスできるようにはなっていない。Microsoftは、Storm-0558が不正アクセスを実行できた背景として、想定外のデータと利便性のために導入した機能、ドキュメント化の不手際など、複数の要因が重なった結果だと説明している。
まず、Microsoftアカウントのコンシューマーキーは2021年4月に発生したコンシューマー署名システムクラッシュによって生成されたクラッシュダンプに含まれていたことに端を発している。本来、こうしたクラッシュダンプにコンシューマーキーが含まれることはあってはならないが、この時点では競合条件によってコンシューマーキーが含まれていた。なお同問題は既に修正済みとなっている。
クラッシュダンプデータはインターネット接続されている他のデバッグ環境に移された。この処理自体は本来の作業プロセスであり問題ないとされている。しかし、Storm-0558はMicrosoftのエンジニアのアカウントを窃取し、このデバッグ環境に侵入してクラッシュダンプを経由し、Microsoftアカウントのコンシューマーキーを入手することに成功した。
Microsoftアカウントのコンシューマーキーでは企業メールにアクセスできないはずだが、ここでも問題が発生していたことが指摘されている。Microsoftは2018年9月にコンシューマーと企業の双方でアプリケーションに対応する共通のキーメタデータ公開エンドポイントを導入している。しかし、メールシステムにおいては鍵のスコープ検証を実施する必要があるというドキュメントの更新を見落としており、コンシューマーキーで企業メールにアクセスできる状態になっていたとされている。
こうした一連の問題が重なったことで、最終的にStorm-0558が企業メールにアクセスできる状況が発生していた。
Microsoftはこのインシデントの分析中および分析の後で以下の強化対策を実施したと説明している。
Copyright © ITmedia, Inc. All Rights Reserved.