Azureを標的にした新型ブルートフォース攻撃を確認 fasthttpを悪用：セキュリティニュースアラート

SpearTipは「fasthttp」ライブラリがブルートフォース攻撃やMFAスパムに悪用されていると報告した。特にAzure Active Directory Graph APIが標的となっていることが判明している。

[後藤大地，有限会社オングス]

　SpearTipは2025年1月13日（現地時間）、「fasthttp」ライブラリを悪用した新たなブルートフォース攻撃を観測したと報告した。SpearTipのSOCやマネージドSaaSアラートチームの調査によって明らかにされている。

　fasthttpはプログラミング言語「Go」向けの高性能HTTPサーバおよびクライアントライブラリで、標準の「net/http」パッケージよりも効率的なHTTPリクエスト処理を実現できる。特に高負荷時のスループット向上とレイテンシ削減を目的として設計されている。

Azureを狙う新型ブルートフォース攻撃を観測　fasthttpを悪用か

　報告によると、fasthttpはブルートフォース攻撃や多要素認証（MFA）スパムに利用されている。攻撃者は、これを利用して不正なアカウントアクセスを試みたことが確認されている。

　攻撃は「Azure Active Directory Graph API」をターゲットにしている。調査では、関連するトラフィックの65％がブラジルから発信されており、他にはトルコやアルゼンチン、ウズベキスタン、パキスタン、イラクが含まれている。これらの地域で複数のASNプロバイダーおよび複数のIPアドレスが悪用されている。

　観測された攻撃活動の概要は以下の通りだ。

• 認証失敗（41.53％）：　誤った資格情報によるログイン試行
• アカウントロックアウト（20.97％）：　ブルートフォース攻撃による保護ポリシーの発動
• 条件付きアクセス違反（17.74％）：　地域制限やデバイス要件の不順守
• MFA認証失敗（10.08％）：　MFAのスパムまたはバイパスの試行
• 不正な地理的場所からの認証成功（9.68％）：　通常とは異なるまたは許可されていない地理的な場所から実行された攻撃

　SpearTipは対策として、IT管理者には「Azure Portal」の「Entra ID」サインインログを活用し、不審なログイン試行を確認することが推奨されている。また、「fasthttp」をキーワードに「Microsoft Purview」で監査ログ検索を実行することで攻撃活動を特定できるとしている。

　fasthttpユーザーエージェントの存在を確認するための「PowerShell」スクリプトも提供されている。このスクリプトは関連するイベントを検出した場合、実行されたディレクトリに出力ファイルを作成する。

　侵害が疑われる場合、ユーザーセッションの期限切れ設定および資格情報の即時リセットやMFAデバイスの確認と再設定、ユーザー設定や権限変更の監視などが推奨されている。脅威アクターによる不正なデバイス追加のリスクにも警戒するよう呼びかけている。