Azureを使う組織は要注意 管理職などを狙うアカウント乗っ取りキャンペーンが進行中：セキュリティニュースアラート

日本プルーフポイントはAzure環境のクラウドアカウント乗っ取りキャンペーンを新たに確認した。このキャンペーンはさまざまな組織が標的になっている。

[後藤大地，有限会社オングス]

　日本プルーフポイントは2024年2月12日、数週間にわたって続いている「Microsoft Azure」（以下、Azure）のクラウドアカウント乗っ取りキャンペーンについて伝えた。

　このキャンペーンは2023年11月下旬から始まっており、上級管理職を含む全世界のさまざまな職位を持つ個人のAzureのユーザーアカウントが標的になっている。日本プルーフポイントは攻撃のテクニックと、被害者にならないための対策を提案した。

日本プルーフポイントはAzure環境に影響を及ぼす継続的な攻撃キャンペーンについて伝えた（出典：日本プルーフポイントのWebサイト）

Azureアカウントを狙う乗っ取りキャンペーン　その手口とは？

　日本プルーフポイントの研究者は2023年11月下旬、クレデンシャルフィッシングとクラウドアカウント乗っ取りのテクニックを駆使した新たな攻撃キャンペーンを検知した。この攻撃キャンペーンは現在も継続している。攻撃グループは共有ドキュメント内に個別のフィッシングルアーを仕込んでユーザーを標的としている。

　分析によると、この攻撃キャンペーンはさまざまな組織を標的にしており、全世界で数百人のユーザーが影響を受けているという。ユーザーの役職は幅広く、特にセールスディレクターやアカウントマネジャー、財務マネジャーなどが頻繁に狙われている。この他、オペレーション担当副社長や最高財務責任者兼財務担当者、社長兼CEOといったエグゼクティブ・ポジションに就いている個人も標的になっている。

　日本プルーフポイントはこの攻撃キャンペーンに関連するセキュリティ侵害インジケーターの一つを特定したとして、以下のユーザーエージェントを挙げている。

• Mozilla/5.0（X11; Linux x86_64） AppleWebKit/537.36（KHTML, like Gecko） Chrome/120.0.0.0 Safari/537.36

　サイバー攻撃者は上記のユーザーエージェントを使って「Microsoft Office Home」のサインインアプリケーションにアクセスした後、以下の「Microsoft 365」のネイティブアプリにアクセスする。

• Office365 Shell WCSS-Client
• Office 365 Exchange Online
• My Signins
• My Apps
• My Profile

　最初のアクセスに成功すると、サイバー攻撃者は持続的なアクセスを維持するために独自の多要素認証（MFA）を登録する。日本プルーフポイントによると、サイバー攻撃者は多くのケースで通知とコードを含む認証アプリを追加する傾向があるという。

　侵害されたクラウドコンテナでは金融資産の窃取や内部セキュリティプロトコルの窃取、ユーザー認証情報といった機密情報の窃取、メールボックスへのアクセス、内部電子メール／メッセージの送信、メールボックスルールの追加などが実行される。

　日本プルーフポイントはこの攻撃キャンペーンから組織を守るための対策として以下の項目を検討することをアドバイスしている。

• 組織のログから特定のユーザーエージェント文字列と送信元ドメインを監視して潜在的な脅威を検出しリスクを低減する
• 侵害されたユーザーや標的とされたユーザーに対して迅速に認証情報を変更するよう強制するとともに、全てのユーザーに対して、定期的なパスワード変更を強制する
• クラウド環境におけるアカウント乗っ取りと機密リソースへの不正アクセスの可能性を特定する
• 電子メールによる脅威（フィッシングやマルウェア、なりすましなど）、ブルートフォース攻撃、パスワードスプレーの試みなどの初期脅威ベクトルを特定する
• 自動修復ポリシーを採用して攻撃者の滞留時間を短縮し、潜在的な損害を最小限に抑える

　日本プルーフポイントはまだこの攻撃キャンペーンを実施している脅威グループの特定には至っていないとしつつも、攻撃者が利用する特定のローカル固定回線ISPや過去のクラウド攻撃との類似性などからロシアやナイジェリアの攻撃者が関与している可能性を指摘している。