M365を狙う大規模パスワードスプレー攻撃を確認 13万台のbotネットが活動か：セキュリティニュースアラート

SecurityScorecardは、Microsoft 365アカウントに対する13万台以上のbotネットを使ったパスワードスプレー攻撃が展開されていることを確認した。この攻撃は、非インタラクティブなサインインを悪用してMFAを回避している。

[後藤大地，有限会社オングス]

　SecurityScorecardは2025年2月24日（現地時間）、「Microsoft 365」（以下、M365）アカウントを標的とした大規模なパスワードスプレー攻撃を実行する、13万台以上のデバイスから成るbotネットの存在を明らかにした。

　この攻撃はBasic認証を悪用し、非インタラクティブなサインインを利用して多要素認証（MFA）を回避する。情報窃取型マルウェアによって収集された認証情報が利用され、複数のM365テナントに対して大規模かつ組織的な攻撃を展開していることが判明した。

M365テナント狙いの攻撃が展開中　13万台のbotネットが活動

　非インタラクティブなサインインはサービス間の認証やレガシープロトコル（POP、IMAP、SMTP）、自動化されたプロセスで一般的に使用され、多くの構成ではMFAをトリガーしない。攻撃者はこれを突き、大量のパスワードスプレー攻撃を検知されずに実行している。SecurityScorecardの調査によると、この攻撃は世界中の複数のM365テナントで確認されており、広範かつ継続的な脅威となっている。

　攻撃インフラとして米国内のホスティングプロバイダーに配置された6台のコマンド＆コントロール（C2）サーバが特定されている。これらのサーバは香港のUCLOUDやCDS Global Cloudを含むプロキシを経由して通信し、4時間の観測期間内で13万台以上のデバイスと接続していることが確認された。

　SecurityScorecardはM365を利用する全ての組織に対し、非インタラクティブなサインインログを直ちに確認し、不審な活動が検出された場合は関連するアカウントの認証情報を速やかに変更するよう推奨している。

　また、Basic認証の無効化やMFAの適切な実装など、セキュリティ対策の強化が求められる。MicrosoftはBasic認証の段階的な廃止を進めており、SMTP AUTHの完全な廃止は2025年9月に予定されている、しかし現在もこの手法を悪用した攻撃が確認されており、速やかに対処すべきだ。

　積極的な監視と迅速な対応が大規模なbotネット攻撃から組織を守る鍵となる。サプライチェーンリスクの低減およびインシデント対応のためにセキュリティ対応チームとの積極的な連携が推奨される。