Microsoft アイデンティティセキュリティの不備が国家集団による攻撃の原因か

Microsoft が最近被害者となった不正アクセス攻撃は、検知と対応のみの防備では不十分であることを改めて表しています。攻撃の根本原因を追究すると、ほとんどの場合、ある 1 つのユーザーと権限が見過ごされていたことに行きつきます。強力な予防セキュリティ対策を講じることが不可欠であることを証明しています。

1 月 19 日に Microsoft は Entra ID (旧 Azure AD) を介して Midnight Blizzard (深夜の吹雪)と名乗る国家集団によって侵害されたことを発表しました。Microsoft は攻撃に関する情報 - 戦術、テクニック、方法 (TTP) - とセキュリティ担当者に対するアドバイス (guidance for responders) を公開しました。 攻撃された場合、内部部環境の機密性を維持して風評被害を最小限にとどめるために、一部の情報を意図的にうやむやにする企業が多数あります。しかし、Microsoft は、今回、Midnight Blizzard が何を悪用して同社の企業環境に侵入したか、その理解を助ける情報を提供しました。

今回の侵害が浮き彫りにしているのは、アイデンティティ管理の不備によって生じるリスクを削減できる、より確実で予防的なセキュリティの必要性です。高度の検出・応答ツールや機能があっても、見過ごされたアイデンティティ、過剰な権限、設定ミスなどが深刻な被害に及ぶことがあるのです。Tenable Identity Exposure は今回のような攻撃が悪用する可能性のある、以下を含む脆弱性を特定します。

• 複数段階承認 (MFA) が設定されていないアカウント 
• 危険な API 権限
• 異常な管理者アカウント

今回の侵害の状況をざっと解説してみます。

Microsoft は攻撃のさまざまな段階について概要を発表しましたが、パスワード管理の不備、MFA の欠如、過剰な権限、Entra の特権ロールなどのよくある弱点が悪用されていることが明らかになっています。

初期アクセスの段階で使われたのは単純なパスワードスプレ― (総当たり攻撃) でした。これは、弱いまたは侵害されたパスワードを標的とする攻撃のテクニックです。ここで狙われたのは実稼働外の環境で、Midnight Blizzard は用心深く行動して検知を回避したようです。Microsoft は発表で、 「この攻撃者は、パスワードスプレーを一部のアカウントに限定してしかけたので、試行回数を抑えることによって検知を避け、(...) また、分散された住宅用ネットワークのプロキシにある (...) 複数認証承認が有効になっていないアカウントから攻撃をしかけた」と説明しています。

非生産環境にあっても、このアカウントに MFA さえ設定されていれば、パスワードスプレー攻撃が最終目標に達することを防げたはずです。少なくとも成功確率が低くなり、検知されやすかったはずです。

次に、攻撃者は過剰な Graph API 権限を悪用してテスト環境から企業の生産環境へと移動しました。このアプリケーションは Microsoft のテストテナントとして登録されていましたが、対応したアイデンティティが生産環境のテナントとして別に存在しており、それに危険な Graph API 権限が与えられていました。

攻撃者は Microsoft の主たる執行役員のメールボックスに 2 か月間アクセスしていました。

それによって、アプリの登録が不正に変更され、攻撃者は対応したサービスのアイデンティティを介して生産環境のテナントへと移動することができました。Microsoft の企業環境に侵入した攻撃者は、新たに作成した悪意のあるアプリケーションに Office 365 Exchange Online の「full_access_as_app」API 権限を与え、それによって幹部のメールボックスに 2 か月以上アクセスすることを可能にしました。

API の権限は、解読が複雑で多岐にわたる要素を伴うアクセス許可を付与することが多く、Microsoft の Graph API も非常に難解であることで知られています。Microsoft 自体もその複雑性の犠牲になったのかもしれません。このようなアイデンティティ管理の欠如は、明らかに攻撃者が逆手に取って Microsoft の生産環境に侵入し、機密性の高い企業内の情報交換を盗み見るために悪用されたのです。

この侵害が明らかに物語っているのは、正確な状況把握によって修復作業を実行して、攻撃される前にアタックサーフェスを縮小させるために、アイデンティティリスクの継続的な評価と理解が必要なことです。Microsoft は攻撃の検知と阻止に使うツールやサービスを各種提供していますが、巧妙な侵害の原因を辿ると、単独のアカウントや権限に潜む小さなミスに突き当たることがよくあります。アイデンティティのアタックサーフェスはその性質上、常に変化しており、予防的に縮小させることがいっそう困難なため、リスク検証を継続的に実行することが必要です。

Tenable Identity Exposure は Microsoft のアイデンティティシステムのセキュリティ態勢を継続的に検証し、リスクのあるアイデンティティ、権限、設定などに優先的に対処して、即時にアタックサーフェスを縮小させます。

Tenable Identity Exposure は、特にこのような種類の攻撃を防ぐために 4 種類の 露出インジケーター (IoE) を用意しています。そのうち 2 種は、MFA が未設定なためにネットに露出しているアカウントを特定して、パスワードスプレー攻撃によく悪用される MFA 未登録の Microsoft Entra ID アカウントを発見します。

• Missing MFA for Privileged Account (MFA が未設定な特権アカウント)
• Missing MFA for Non-Privileged Account (MFA が未設定な非特権アカウント)

Tenable Identity Exposure には、また、危険な Microsoft Entra のロールと Microsoft Graph API 権限を検出して分析する 2つの IoE があり、攻撃手法となりうるこれらのものを攻撃が起きる前に排除することができます。

• Dangerous API Permissions Affecting the Tenant (テナントに影響のある危険な API 権限)
• High Number of Administrators (管理者が非常に多い)

以上の IoE が機能している Identity Exposure は、極めて重要な、しかしよく見過ごされている Microsoft のアイデンティティシステムの部分を継続的に検証します。Tenable では、また、最もリスク度の高いアイデンティティを検出して、修正する手順を提供しています。Midnight Blizzard が使った手口は、Tenable Identity Exposure が排除して攻撃を未然に防ぐことのできる、典型的なアイデンティティリスクと攻撃経路の 1 種です。

Tenable Identity Exposure が Microsoft のアイデンティティ環境でアタックサーフェスを縮小させることについては、デモを予約されてご覧いただけます。Identity Exposure のデータシートもダウンロードしてご覧ください。