Microsoftに攻撃を仕掛けたMidnight Blizzard 攻撃を防ぐためにできることは？：セキュリティニュースアラート

Microsoftはロシアが支援する脅威アクター「Midnight Blizzard」についての調査結果を公表した。同社はMidnight Blizzardによる攻撃を受けて、この組織の優れている点やリスクを低減する方法を解説した。

[後藤大地，有限会社オングス]

　Microsoftは2024年1月25日（現地時間、以下同）、ロシアが支援するサイバー攻撃者「Midnight Blizzard」（別名: NOBELIUM、APT29、UNC2452、Cozy Bear）に関する調査結果を報告した。Midnight Blizzardは米国や欧州の政府機関や非政府組織を標的に諜報活動を続けている組織だ。

Microsoftはロシアが支援する脅威アクター「Midnight Blizzard」に関する調査結果を報告した（出典：MicrosoftのWebサイト）

Midnight Blizzardの攻撃を防ぐためにやるべきこと

　Microsoftは2024年1月12日、自社システムに対する攻撃を検出し、この攻撃を仕掛けた脅威アクターがMidnight Blizzardだと特定した。同社はMidnight Blizzardの概要や使用されている手法の分析、脅威を保護、検出、対応する方法などを解説した。

　Midnight Blizzardは、米国政府や英国政府によってロシア対外情報庁（SVR）として認定されている脅威アクターである。この脅威アクターは主に米国や欧州の政府、外交機関、非政府組織（NGO）、ITサービスプロバイダーを標的にすることで知られている。2018年初頭から活動が観測されており、長期にわたって諜報活動に従事することが判明している。

　この脅威アクターはロシアの外交政策の利益を支援するという目的に対して一貫性と粘り強さがあり、目的が変わることはほとんどない。パスワードスプレーなどによる認証情報の窃取やOAuthアプリケーションの悪用、サプライチェーン攻撃、オンプレミスを悪用したクラウドへの水平移動、サービスプロバイダーのサプライチェーンを悪用などにも長けている。

　MicrosoftはMidnight Blizzardの攻撃によるリスクを軽減するために以下の対策を推奨している。

• 「Microsoft Graph」データ接続承認ポータルを使用してテナント内全てのID（ユーザーとサービスプリンシパルの両方）の特権レベルを監査し、どのIDが高い特権を持っているかを把握する
• 「Microsoft Exchange Online」（以下、Exchange Online）で“ApplicationImpersonation”特権を保持するIDを監査する
• 異常検出ポリシーを使用して悪意のあるOAuthアプリを特定する
• アプリガバナンスを通じて機密性の高いExchange Online管理アクティビティーを実行する悪意のあるOAuthアプリを検出する
• 管理されていないデバイスから接続するユーザーに対してアプリの条件付きアクセス制御を実装する
• EWS.AccessAsUser.AllおよびEWS.full_access_as_appパーミッションを保持しているアプリケーションを確認し、それらがテナントでまだ必要であるかどうかを把握し、不要であれば削除する
• アプリケーションがメールボックスにアクセスする必要がある場合はExchange Onlineのアプリケーションの役割ベースのアクセス制御を使用してきめ細かくアクセスを実装する
• 安全でないパスワードを排除する
• ユーザーにサインインアクティビティーに関する教育を実施する
• パスワードスプレー攻撃の標的となったアカウントのアカウントパスワードをリセットする
• 「Microsoft Entra ID Protection」などのソリューションを使用してIDベースの攻撃を検出、調査、修復する
• 「Microsoft Purview Audit Premium」を使用して侵害されたアカウントを調査する
• 「Microsoft Active Directory Domain Services」にオンプレミスの「Microsoft Entraパスワード保護」を適用する
• ユーザーサインインのリスク検出を使用して多要素認証またはパスワードの変更をトリガーする
• パスワードスプレー調査プレイブックを使用してパスワードスプレーアクティビティーの可能性を調査する

　MicrosoftによるMidnight Blizzardの調査はまだ進行中とされており、今後も必要に応じて情報を提供する予定だ。