Storm-0558によるMicrosoft クラウドサービスへの不正アクセス
2023年7月11日、Microsoftは中国を拠点に活動をしている脅威アクターであるStorm-0558により政府のメールなどに対し不正アクセスが行われたと公表しました。ここでは、このセキュリティ事故について解説します。
概要
Microsoftは同社のクラウドサービスであるExchange OnlineおよびOutlook.comへの不正アクセスを公表しました。同社のサービスを利用する政府機関を組織の電子メールデータおよびこれら組織関連とみられる個人アカウントへ第三者がアクセスを行いました。米国国務省、米国商務省の長官、駐中国大使、国務省次官補(東アジア担当)らが含まれます。
不正発覚までの経緯
2023年6月16日にMicrosoftが米国国務省からの報告を受け数週間の調査を通じて把握したもので、2023年5月15日より約1か月にわたり不正活動が続きました。
報告を行った米国国務省は、M365の監査ログより予期しないイベントを確認しました。記録されたログが通常の環境でアクセスし得るものでなかったことから不審な挙動と判断されました。
不正発覚後の対応
Microsoftは不正アクセスの被害影響についていずれの利用者においても攻撃への対応が完了したと説明しており、その後も既知のインディケーター情報に基づき自動検出を強化したものの、追加の被害は確認されていないとされました。
米国CISAでは、今回の不正アクセスの発生を受けてクラウドで提供されるOutlookにかかるサイバーセキュリティ勧告を発出しました。
Enhanced Monitoring to Detect APT Activity Targeting Outlook Online
攻撃者
Microsoftは、中国の労働時間での攻撃を観測しており、今回の不正アクセスの実行者を中国の脅威アクター Storm-0558 による可能性があるとしています。
Storm-0558が過去に行った活動と今回の活動は、同じ標的のメールアカウントへ不正アクセスしデータを取得するものということです。
不正アクセスの手口
今回の不正アクセスの手口として、まずMicrosoft アカウントの署名鍵を悪用しMicrosoft のクラウドサービス(OWA、Outlook.com)で使用される認証トークンを生成しています。さらに、AzureADアカウントのトークンにもこの鍵を使って署名し、Azure ADのアカウントにもなりすまし認証を行っています。
そして、次の情報取得を行った可能性があります。
メールのダウンロード
添付ファイルのダウンロード
会話の検索とダウンロード
メールフォルダ情報の取得
不正アクセスへの暫定対応
Microsoftは攻撃者が悪用したMicrosoft アカウントの署名鍵によって生成された偽造トークンを継続使用されないよう、停止する対応を完了しています。
不正アクセスの発端となった偽造トークン発行に使用されたMicrosoft アカウントの署名鍵はMicrosoftによって秘匿されるべき情報であり、どのような経緯で攻撃者がそれを所持していたのかについては現時点も調査中のままです。
最新の状況
Microsoftと米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が2023年7月11日すぎに公表した、中国の攻撃者「Storm-0558」に起因するとされるセキュリティ事故について、当初の想定よりも広範囲に影響が及んでいるとされています。
7月21日(米国時間)において、中国のサイバー攻撃者により漏洩したMicrosoftアカウントの署名鍵の影響は、当初の想定よりも広範囲に及ぶ可能性があるとされています。
Compromised Microsoft Key: More Impactful Than We Thought|Wiz Blog漏洩した署名鍵は強力な権限を有するため、「SharePoint」、「Teams」、「OneDrive」などのアプリケーションや、「Microsoftログイン」機能を提供するアプリケーションなど、複数のAzure Active Directoryアプリケーションでアクセストークンを偽造し、不正アクセスされた可能性があります。
現段階では脆弱性の可能性のあったアプリケーションは数百万に上り、その大半は侵害されたかどうかを判断するログを持っていない可能性が高いです。