Microsoft、約25の顧客に影響を与えたStorm-0558によるハッキング被害の原因を公表:セキュリティニュースアラート
Microsoftは、複数の政府顧客を含む全世界の約25の顧客が、脅威グループ「Storm-0558」によってハッキングされた件について原因を報告した。
Microsoftは2023年9月6日(現地時間)、中国系のサイバー攻撃グループ「Storm-0558」がMicrosoftアカウントのコンシューマーキーを入手し、「Outlook on the web」にアクセスするためのトークンを偽装した方法について情報を公開した。
脅威アクターは窃取したキーを利用して米国政府機関のアカウントを含めて25の組織を侵害していったと考えられている。
Storm-0558によるセキュリティ侵害の原因とは?
Microsoftの本番環境は従業員であっても簡単にアクセスできるようにはなっていない。Microsoftは、Storm-0558が不正アクセスを実行できた背景として、想定外のデータと利便性のために導入した機能、ドキュメント化の不手際など、複数の要因が重なった結果だと説明している。
まず、Microsoftアカウントのコンシューマーキーは2021年4月に発生したコンシューマー署名システムクラッシュによって生成されたクラッシュダンプに含まれていたことに端を発している。本来、こうしたクラッシュダンプにコンシューマーキーが含まれることはあってはならないが、この時点では競合条件によってコンシューマーキーが含まれていた。なお同問題は既に修正済みとなっている。
クラッシュダンプデータはインターネット接続されている他のデバッグ環境に移された。この処理自体は本来の作業プロセスであり問題ないとされている。しかし、Storm-0558はMicrosoftのエンジニアのアカウントを窃取し、このデバッグ環境に侵入してクラッシュダンプを経由し、Microsoftアカウントのコンシューマーキーを入手することに成功した。
Microsoftアカウントのコンシューマーキーでは企業メールにアクセスできないはずだが、ここでも問題が発生していたことが指摘されている。Microsoftは2018年9月にコンシューマーと企業の双方でアプリケーションに対応する共通のキーメタデータ公開エンドポイントを導入している。しかし、メールシステムにおいては鍵のスコープ検証を実施する必要があるというドキュメントの更新を見落としており、コンシューマーキーで企業メールにアクセスできる状態になっていたとされている。
こうした一連の問題が重なったことで、最終的にStorm-0558が企業メールにアクセスできる状況が発生していた。
Microsoftはこのインシデントの分析中および分析の後で以下の強化対策を実施したと説明している。
- クラッシュダンプに署名キーが含まれるケースが存在する競合条件を特定し修正
- クラッシュダンプに誤って含まれる鍵について予防、検出、対応を強化
- クレデンシャルスキャンを強化し、デバッグ環境における署名キーの存在をより適切に検出できるように改善
- 認証ライブラリの鍵スコープ検証を自動化するライブラリの拡張と関連文書を明確化
関連記事
- Microsoftの“ずさんなセキュリティ対策”に非難集中 おわびのログ機能無料提供へ
Microsoftは、顧客の電子メールアカウントがハッキング被害に遭った件を受けて、クラウドセキュリティログ機能を無償で提供する予定だ。同社はこの件について連邦政府や競合他社から厳しい批判を受けている。 - Microsoftの顧客に起きたハッキング被害 「影響は広範にわたる」と調査報告書
Microsoftの顧客の電子メールアカウントでハッキング被害が起きた件について、セキュリティ企業のWizが公開した調査報告書はOutlook.com以外のデータにもアクセスできる恐れがあると警告した。 - ExcelでPythonが利用可能に セットアップやインストールなども必要なし
MicrosoftはExcelにプログラミング言語「Python」の機能を統合した。本稿執筆段階ではパブリックプレビュー版としての提供となる。 - Windows 11の一部エディション 2023年10月のサービス終了を再通知
Microsoftは2023年10月10日、「Windows 11, version 21H2 Home エディション」と「Windows 11, version 21H2 Pro エディション」のサービスが終了すると再度通知した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.