Microsoftに攻撃を仕掛けたMidnight Blizzard 攻撃を防ぐためにできることは?:セキュリティニュースアラート
Microsoftはロシアが支援する脅威アクター「Midnight Blizzard」についての調査結果を公表した。同社はMidnight Blizzardによる攻撃を受けて、この組織の優れている点やリスクを低減する方法を解説した。
Microsoftは2024年1月25日(現地時間、以下同)、ロシアが支援するサイバー攻撃者「Midnight Blizzard」(別名: NOBELIUM、APT29、UNC2452、Cozy Bear)に関する調査結果を報告した。Midnight Blizzardは米国や欧州の政府機関や非政府組織を標的に諜報活動を続けている組織だ。
Midnight Blizzardの攻撃を防ぐためにやるべきこと
Microsoftは2024年1月12日、自社システムに対する攻撃を検出し、この攻撃を仕掛けた脅威アクターがMidnight Blizzardだと特定した。同社はMidnight Blizzardの概要や使用されている手法の分析、脅威を保護、検出、対応する方法などを解説した。
Midnight Blizzardは、米国政府や英国政府によってロシア対外情報庁(SVR)として認定されている脅威アクターである。この脅威アクターは主に米国や欧州の政府、外交機関、非政府組織(NGO)、ITサービスプロバイダーを標的にすることで知られている。2018年初頭から活動が観測されており、長期にわたって諜報活動に従事することが判明している。
この脅威アクターはロシアの外交政策の利益を支援するという目的に対して一貫性と粘り強さがあり、目的が変わることはほとんどない。パスワードスプレーなどによる認証情報の窃取やOAuthアプリケーションの悪用、サプライチェーン攻撃、オンプレミスを悪用したクラウドへの水平移動、サービスプロバイダーのサプライチェーンを悪用などにも長けている。
MicrosoftはMidnight Blizzardの攻撃によるリスクを軽減するために以下の対策を推奨している。
- 「Microsoft Graph」データ接続承認ポータルを使用してテナント内全てのID(ユーザーとサービスプリンシパルの両方)の特権レベルを監査し、どのIDが高い特権を持っているかを把握する
- 「Microsoft Exchange Online」(以下、Exchange Online)で“ApplicationImpersonation”特権を保持するIDを監査する
- 異常検出ポリシーを使用して悪意のあるOAuthアプリを特定する
- アプリガバナンスを通じて機密性の高いExchange Online管理アクティビティーを実行する悪意のあるOAuthアプリを検出する
- 管理されていないデバイスから接続するユーザーに対してアプリの条件付きアクセス制御を実装する
- EWS.AccessAsUser.AllおよびEWS.full_access_as_appパーミッションを保持しているアプリケーションを確認し、それらがテナントでまだ必要であるかどうかを把握し、不要であれば削除する
- アプリケーションがメールボックスにアクセスする必要がある場合はExchange Onlineのアプリケーションの役割ベースのアクセス制御を使用してきめ細かくアクセスを実装する
- 安全でないパスワードを排除する
- ユーザーにサインインアクティビティーに関する教育を実施する
- パスワードスプレー攻撃の標的となったアカウントのアカウントパスワードをリセットする
- 「Microsoft Entra ID Protection」などのソリューションを使用してIDベースの攻撃を検出、調査、修復する
- 「Microsoft Purview Audit Premium」を使用して侵害されたアカウントを調査する
- 「Microsoft Active Directory Domain Services」にオンプレミスの「Microsoft Entraパスワード保護」を適用する
- ユーザーサインインのリスク検出を使用して多要素認証またはパスワードの変更をトリガーする
- パスワードスプレー調査プレイブックを使用してパスワードスプレーアクティビティーの可能性を調査する
MicrosoftによるMidnight Blizzardの調査はまだ進行中とされており、今後も必要に応じて情報を提供する予定だ。
関連記事
- SharePoint Serverにリモートコード実行を可能にする2つの脆弱性 PoCも公開済み
サイバーセキュリティの研究者がSharePoint Serverに存在する重大な脆弱性を2つ組み合わせて認証前リモートコード実行の可能性を示す概念実証を公開した。 - 経営レベルでの実施はわずか16% サステナビリティの“理想”と“現実”
KyndrylはEcosystmが実施した「Global Sustainability Barometer」の調査結果を発表した。85%の企業が持続可能性を重視しているが、実際に取り入れているのは16%にすぎず、統合や実行に支援が必要だという。 - Microsoft、SIEMとXDR、生成AIを統合したプラットフォームを新発表
MicrosoftはAIを活用したサイバーセキュリティ対策の取り組みを拡大させると発表し、「Microsoft Security Copilot」や「Unified Security Operations Platform」について新たな発表を行った。 - Microsoft、Security Copilotの成果を報告 基本タスクに掛かる時間を大幅削減
Microsoftは先日早期アクセスプログラムを提供した生成AIサービスSecurity Copilotの成果を発表した。セキュリティアナリストの基本タスクにかかる時間を大きく効率化するという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.