8万以上のEntra IDが標的に 新たなサイバー攻撃「UNK_SneakyStrike」の詳細：セキュリティニュースアラート

Proofpointは、正規のセキュリティツール「TeamFiltration」を悪用しMicrosoft Entra IDを標的とするサイバー攻撃「UNK_SneakyStrike」の詳細を公開した。この作戦は数百の組織に属する8万以上の利用者資格情報を狙い、複数の侵害を成功させている。

[後藤大地，有限会社オングス]

　Proofpoint脅威調査チームは2025年6月11日（現地時間）、「Microsoft Entra ID」を標的とするアカウント乗っ取り作戦「UNK_SneakyStrike」の詳細を公表した。攻撃側がペネトレーションテスト用フレームワーク「TeamFiltration」を流用していた事実を突き止めている。

　調査によれば、この作戦は2024年12月から活動を開始し、数百の組織に属する8万以上の利用者資格情報を狙い、複数の侵害を成功させている。攻撃者は「Microsoft Teams API」と複数地域に設置した「Amazon Web Services」（AWS）サーバを活用し、利用者名列挙とパスワードスプレーを段階的に実行して「Microsoft OneDrive」（OneDrive）や「Microsoft Outlook」（Outlook）など純正アプリへ不正接続し、情報を奪取した。

TeamFiltrationを悪用した攻撃「UNK_SneakyStrike」の全貌

　TeamFiltrationは2021年1月に研究者が開発し、「DEF CON 30」で公開した自動侵入支援フレームワークだ。「Office 365」環境で認証情報を奪うために、利用者名の絞り込み、一般的パスワードの大規模試行、電子メールやファイルの転送、OneDriveを経由した持続的侵入など複数の機能を備える。正規のレッドチーム活動を支援する目的で世に出たが、コードは誰でも入手可能であり、攻撃集団も簡単に採用可能となっている。

　特筆すべき要素は、「Microsoft OAuth」の特定クライアント群が取得するファミリーリフレッシュトークンを悪用し、複数のアプリ間でアクセストークンを交換する仕組みを組み込んでいる点だ。この設計により、一度認証を突破すると「Microsoft Teams」や「Microsoft SharePoint」など幅広いサービスに連鎖的に移動可能となる。

　Proofpointはツール公開資料と初期設定ファイルを解析し、旧式Microsoft Teamsクライアントを模倣する特異なユーザーエージェント文字列を発見した。この特別な文字列は現行環境にほとんど存在せず、登場時点で侵入活動の手掛かりとなる。同組織はTeamFiltrationが固有に参照するサインインアプリID群を利用し、アプリ互換性のない端末からの認証試行を検出して不審なアクセスを高精度に抽出した。加えて、コードの誤植に由来するID選定の偏りも補助指標として活用し、模倣実験と実害攻撃を区別した。

　UNK_SneakyStrikeは2024年12月に初めて確認でき、その後2025年1月に活動ピークを迎えている。攻撃は短時間に大量の試行を集中させ、その後4〜5日の静止期間に入る波状パターンを持つ。小規模テナントではほぼ全利用者を対象とし、大規模テナントでは事前に価値が高い資格情報を選別する手法が採られた。これらの試行はAWSインフラストラクチャを経由し、米国やアイルランド、英国に位置するリージョンを巡回しつつパスワードスプレーを重ねる。それぞれの波で出どころのIPが変動するため、単純なリスト型攻撃防御では追跡を困難にした。合計で8万超の利用者資格情報が目標となり、およそ100テナントで実際にログイン成功例が挙がっている。被害例には財務資料や機密設計図の流出が含まれ、被告発企業は調査コストの増大に直面した。

　TeamFiltrationを操作する攻撃者は、先にAWS側で複数リージョンに仮想マシンを準備し、パスワードスプレーごとに発信地域を切り替える戦術を採択した。その上、「Microsoft 365 Business Basic」ライセンスを付与した使い捨て利用者を自ら保有し、「Teams Graph API」にチャット作成リクエストを投げることで、対象テナントに存在する実利用者名を機械的に照合する手順を取った。最新版コードにはOneDrive APIを使った新しい列挙機構も追加され、先述のチャット照合と組み合わせることで誤検知を抑えつつ効率を高めている。加言すれば、このツールが参照するクライアントID一覧にはOutlookと「Microsoft OneNote」を指す誤値が含まれ、リストの古さが監視側の分析に役立った。

　今回の調査は、善意で公開したセキュリティツールが短期間で攻撃基盤に転用される実態を映し出した。クラウド認証環境を保護する組織は、旧式クライアントや不整合なアプリIDを手掛かりとする高度なふるまい検知を整備し、パスワードスプレーに耐える強固な認証規則と多要素方式を即時導入すべきだ。

　いっそう、列挙試行の速度や地理的ばらつきを監視し、疑わしい流れを早期に遮断する自動化が求められる。ペネトレーションフレームワークの進化と比例して攻撃手法は洗練化するため、運用チームは公開コードの更新履歴を追い、指標を更新し続けなければならない。特異なユーザーエージェントや誤ったクライアントIDは、現場での拾い上げに役立つ早期警報用メタデータだ。監査ログの保持期間を延長し、外部委託業者とも共有することで、標的組織全体の備えが厚くなる。