セキュリティ専門家たちは、Microsoftの幹部の電子メールがハッキングされたインシデントについて、同社のセキュリティ不備と怠慢の結果だとして批判している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
2024年1月に発生したMicrosoftの上級幹部チームへのハッキングは、国家に関連した世界有数の脅威グループによる積極的で大胆な行動と見られている。
ベテランの研究者や業界アナリストは、この攻撃についてMicrosoftのセキュリティ能力における長年の弱点を再認識させるものだと考えている。
この他、ビジネスアプリケーションとクラウドコンピューティングで圧倒的なシェアを誇るMicrosoftは、これまであまりにも自由だったとの見方もある。
スタンフォード大学のサイバーポリシーセンターのフェローであり、ホワイトハウスでサイバーポリシーを担当するディレクターを務めたA.J.グロット氏は「はっきりさせておきたいのは、Microsoftは犯罪の被害者だということだ。しかしサイバー領域におけるMicrosoftの行動は、車を荒れた地域に駐車し、ドアを開けっ放しにして貴重品を見えるところに放置したのと同じだ」と指摘した。
Microsoftは2024年1月15日(現地時間、以下同)の週に、以前は「Nobelium」という名称で知られていたロシアに関連する攻撃者「Midnight Blizzard」によるハッキング被害を公表した(注1)。このグループは、2023年11月下旬のパスワードスプレー攻撃によって、同社の主要幹部から電子メールやその他の文書を盗み出した。
Microsoftによると、ハッカーはレガシーな非本番テスト用のテナントアカウントを侵害した。攻撃が発見されたのは2024年1月12日のことだった。
セキュリティ研究者によると、パスワードスプレー攻撃は通常、システムに侵入する能力を持たないハッカーによって実行される総当り攻撃の一種である。パスワードスプレー攻撃は通常、身元を確認するための単純な認証レイヤーによって防げる。
グロット氏は「これは高度な攻撃ではなく、基本的なサイバーハイジーン管理で防ぐことができるものだった」と指摘した。
2024年1月25日に公開されたブログ記事において(注2)、Microsoftの脅威インテリジェンスの研究者たちは「追加の防止策を講じたため、この攻撃を成功させるのがはるかに難しくなった。現在、同じチームがレガシーテナントを展開する場合、Microsoftのポリシーとワークフローによって、多要素認証が確実に実施され、現在のポリシーとガイダンスに準拠してアクティブな保護が有効となり、この種の攻撃に対して、より良い保護を受けられる」と述べた。
Microsoftによると、脅威グループは最初のアクセス権を利用して、レガシーなテスト用のOAuthアプリケーションを悪用して追加でOAuthアプリケーションを作成し、その特権を利用してMicrosoftの社内の電子メールアカウントにアクセスしたという。
同ブログによると、通常はIPアドレスが正当なユーザーによって使用されるため、脅威活動を検出から隠すためにMidnight Blizzardは住宅用プロキシネットワークを使用したという。
Astrix Securityの研究チームでリードを務めるタル・スクヴェアー氏は「残念なことに、Microsoftは人間以外のアイデンティティーを管理または監視しておらず、その結果、過剰なアクセス権を備えたアプリが、侵害を受けた企業のMicrosoftテナントに存在していた」と分析した。
Microsoftの調査により、Midnight Blizzardは他の組織も標的にしていることが判明した。同社は標的となった被害者への通知を開始した。
Hewlett Packard Enterprise(HPE)は2024年1月24日に(注3)、2023年5月にさかのぼって、同じ脅威グループから攻撃を受けていたことを明らかにした。
Midnight Blizzardは、HPEの電子メールボックスのごく一部と、サイバーセキュリティ部門やその他の部門の限られた従業員の「Microsoft SharePoint」ファイルからデータにアクセスした。同社は、これらの攻撃について他の企業や組織と協議したかどうかに関するコメントを控えたが、法執行機関に協力していることを確認した。
HPEの広報担当者は電子メールで「攻撃者は『Microsoft 365』の電子メール環境に不正アクセスするために、侵害されたアカウントを使用した」と回答した。
同社は影響を受けた電子メールボックスから具体的にどのような情報にアクセスされ、流出したのかを特定するために調査を続けている。
今回のサイバー攻撃は、米国務省から数万通の電子メールが盗まれた「Microsoft Exchange」に対するハッキング事件からわずか半年後のことだ(注4)。
同社はクラウド利用者にログを含む重要なセキュリティ機能を使用するために追加料金を支払わせたことで、同業他社や米政府当局から大きな反発を受けた(注5)。
Micorosoftは、米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)との合意に達し(注6)、セキュリティログを追加料金なしで利用可能にし、後に「Microsoft Purview」のデフォルトの保存期間を拡張した(注7)。これらの措置は攻撃後、セキュリティを強化する取り組みの一環として実施された(注8)。
Microsoftは2023年11月に「Secure Future Initiative」という計画を発表し(注9)、セキュア・バイ・デザインとセキュア・バイ・デフォルトの原則をソフトウェアの開発プロセスに組み込む取り組みを実施している。
Microsoftでセキュリティ業務を担当するシニアバイスプレジデントのヴァス・ジャッカル氏は、2024年1月の初めに『Cybersecurity Dive』に対し、電子メールで次のように語った。
「当社はAI(人工知能)と自動化を駆使し、設計や導入、運用においてデフォルトで安全な製品を実現するために、ソフトウェアに対する取り組みに変革を起こすことに注力している」
8-K報告書(重要性があると判断されてから4日以内に提出が求められるサイバーセキュリティインシデント報告書)の書類提出に伴って、2024年1月15日の週に公開されたブログ記事で(注10)、Microsoftは「Secure Future Initiative」による取り組みを迅速化し、通常のビジネスプロセスに影響を与える可能性のある痛みを伴う決断を下す必要があることを認めた。
Microsoftの関係者は、ブログ記事で「この新しい現実に適応する間、ある程度の混乱が生じる可能性がある。しかしこれは必要なステップであり、この考え方を受け入れるために私たちが取る幾つかのステップのうちの最初のステップにすぎない」と答えた。
セキュリティ研究者のケヴィン・ボーモント氏は、今回の情報公開を受けて、「LinkedIn」に次の内容を投稿した(注11)。
「信頼を維持するために、Micorosoftは徹底して技術的および文化的な変革に臨む必要がある」
Microsoftのこれらの宣言があったにもかかわらず、TenableのCEOであるアミット・ヨラン氏は「Midnight Blizzardによる攻撃の影響について、Microsoftは今後、より悲観的な情報を展開していくだろう。この件を契機に大きな変革が起こるとの期待は持っていない」と述べた。
また、ヨラン氏は、電子メールで次のようにも述べている。
「過去の実績が現在および将来の行動の指標となるのであれば、この度の事件が今後数カ月にわたって少しずつ明らかになる様子を見守るのは興味深いことだ」
(注1)Microsoft to overhaul internal security practices after Midnight Blizzard attack(Cybersecurity Dive)
(注2)Midnight Blizzard: Guidance for responders on nation-state attack(Microsoft)
(注3)HPE hit by a monthslong cyberattack on its cloud-based email(Cybersecurity Dive)
(注4)Microsoft warns China-linked APT actor hacked US agency, other email accounts(Cybersecurity Dive)
(注5)Microsoft offers free security logs amid backlash from State Department hack(Cybersecurity Dive)
(注6)Microsoft offers free security logs amid backlash from State Department hack(Cybersecurity Dive)
(注7)Microsoft extends security log retention following State Department hacks(Cybersecurity Dive)
(注8)Microsoft crash dump exposed key that led to US cabinet email hacks, investigation finds(Cybersecurity Dive)
(注9)A new world of security: Microsoft’s Secure Future Initiative(Microsoft)
(注10)Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard(Microsoft)
(注11)Posted by Kevin Beaumont(LinkedIn)
© Industry Dive. All rights reserved.