Azureを使う組織は要注意 管理職などを狙うアカウント乗っ取りキャンペーンが進行中:セキュリティニュースアラート
日本プルーフポイントはAzure環境のクラウドアカウント乗っ取りキャンペーンを新たに確認した。このキャンペーンはさまざまな組織が標的になっている。
日本プルーフポイントは2024年2月12日、数週間にわたって続いている「Microsoft Azure」(以下、Azure)のクラウドアカウント乗っ取りキャンペーンについて伝えた。
このキャンペーンは2023年11月下旬から始まっており、上級管理職を含む全世界のさまざまな職位を持つ個人のAzureのユーザーアカウントが標的になっている。日本プルーフポイントは攻撃のテクニックと、被害者にならないための対策を提案した。
Azureアカウントを狙う乗っ取りキャンペーン その手口とは?
日本プルーフポイントの研究者は2023年11月下旬、クレデンシャルフィッシングとクラウドアカウント乗っ取りのテクニックを駆使した新たな攻撃キャンペーンを検知した。この攻撃キャンペーンは現在も継続している。攻撃グループは共有ドキュメント内に個別のフィッシングルアーを仕込んでユーザーを標的としている。
分析によると、この攻撃キャンペーンはさまざまな組織を標的にしており、全世界で数百人のユーザーが影響を受けているという。ユーザーの役職は幅広く、特にセールスディレクターやアカウントマネジャー、財務マネジャーなどが頻繁に狙われている。この他、オペレーション担当副社長や最高財務責任者兼財務担当者、社長兼CEOといったエグゼクティブ・ポジションに就いている個人も標的になっている。
日本プルーフポイントはこの攻撃キャンペーンに関連するセキュリティ侵害インジケーターの一つを特定したとして、以下のユーザーエージェントを挙げている。
- Mozilla/5.0(X11; Linux x86_64) AppleWebKit/537.36(KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
サイバー攻撃者は上記のユーザーエージェントを使って「Microsoft Office Home」のサインインアプリケーションにアクセスした後、以下の「Microsoft 365」のネイティブアプリにアクセスする。
- Office365 Shell WCSS-Client
- Office 365 Exchange Online
- My Signins
- My Apps
- My Profile
最初のアクセスに成功すると、サイバー攻撃者は持続的なアクセスを維持するために独自の多要素認証(MFA)を登録する。日本プルーフポイントによると、サイバー攻撃者は多くのケースで通知とコードを含む認証アプリを追加する傾向があるという。
侵害されたクラウドコンテナでは金融資産の窃取や内部セキュリティプロトコルの窃取、ユーザー認証情報といった機密情報の窃取、メールボックスへのアクセス、内部電子メール/メッセージの送信、メールボックスルールの追加などが実行される。
日本プルーフポイントはこの攻撃キャンペーンから組織を守るための対策として以下の項目を検討することをアドバイスしている。
- 組織のログから特定のユーザーエージェント文字列と送信元ドメインを監視して潜在的な脅威を検出しリスクを低減する
- 侵害されたユーザーや標的とされたユーザーに対して迅速に認証情報を変更するよう強制するとともに、全てのユーザーに対して、定期的なパスワード変更を強制する
- クラウド環境におけるアカウント乗っ取りと機密リソースへの不正アクセスの可能性を特定する
- 電子メールによる脅威(フィッシングやマルウェア、なりすましなど)、ブルートフォース攻撃、パスワードスプレーの試みなどの初期脅威ベクトルを特定する
- 自動修復ポリシーを採用して攻撃者の滞留時間を短縮し、潜在的な損害を最小限に抑える
日本プルーフポイントはまだこの攻撃キャンペーンを実施している脅威グループの特定には至っていないとしつつも、攻撃者が利用する特定のローカル固定回線ISPや過去のクラウド攻撃との類似性などからロシアやナイジェリアの攻撃者が関与している可能性を指摘している。
関連記事
- 企業のSNSアカウントはなぜ乗っ取られるのか? “運用の欠陥”を筆者が指摘
最近、企業組織が運営する「X」をはじめとしたSNSアカウントの乗っ取り被害をよく聞きます。なぜこれを防げないのでしょうか。そこには運用面での“欠陥”が存在するようです。 - 日本市場に対応したバックアップを提供 ヴィームが製品アップデート状況を解説
ヴィームは事業戦略説明会を開催し、データ保護における4つのトレンドを踏まえて、レッドハットとの協業や自社製品アップデートの最新状況を発表した。 - やはり“セキュリティ=資金力”なのか? 189カ国630万の組織を調査した結果は
SecurityScorecardは同社の調査で「国の経済的繁栄は防衛力の強化に直結しており、サイバーセキュリティには貧富の差が生じている」という見立てを公開した。果たして本当か。 - ここだけは絶対守りたい データ侵害につながるクラウドの設定ミス“13選”
マルチクラウド/ハイブリッドクラウドの利用が進む昨今、脅威アクターはクラウドを狙った攻撃を実行するようになってきています。本稿はこれを防ぐために“13のクラウドの設定ミス”を解説します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.