二重の脅威：Midnight BlizzardがMicrosoftとHPEを揺るがすハッキング騒動

MicrosoftとHewlett Packard Enterprise（HPE）の両社がクラウドベースのメールインフラストラクチャを介して侵害されたという最近の報告は、サイバーセキュリティ業界に衝撃を与えています。率直に言って、その理由は一つではありません！2020年のSolarWindsハッキングを覚えている方には、現在Midnight Blizzard（別名Cozy Bear、Nobelium、APT29）として知られる同じ攻撃者が、再び活動しているように見えます。

HPEとMicrosoftの両社における侵害が数日以内に開示されたものの、この状況は主にMidnight Blizzardの国際スパイ活動が継続している現実を浮き彫りにしています。報告書では、この脅威グループがロシア対外情報庁（SVR）と強く関連付けられており、組織のデジタルフットプリントや資産内の脆弱性を執拗に悪用していることが示されています。

両方のインシデントには一貫性があり、Midnight Blizzardのオペレーターは、個々の従業員のメールボックスへの標的型攻撃とパスワードスプレー攻撃をそれぞれ介して、HPEとMicrosoftのクラウドベースのメール環境へのアクセスを獲得しました。

HPEは、ハッキンググループが侵害されたアカウントを介してアクセスした後、「限られた数」のHPEの365メールボックスから「データにアクセスし、持ち出した」と述べました。
Microsoftの場合、攻撃者は初期アクセスを利用して、Microsoftの企業環境への昇格されたアクセス権を持つレガシーテストOAuthアプリケーションを特定し、侵入しました。このアプリケーションを悪用することで、さらに悪意のあるOAuthアプリケーションを生成し、最終的に特権的なMicrosoft 365 Exchange Onlineロールを自身に付与することができました。この戦術により、システム内のメールボックスへのアクセスを獲得しました。

脅威をさらに複雑にするため、このグループはセッションリプレイ攻撃を使用していることが確認されており、不正な方法やアクセスブローカーを通じて取得した盗まれたセッションを利用して、クラウド資源への初期アクセスを獲得しています。

Microsoftが以前に行った調査や、被害者のネットワーク内でOAuthアプリケーションを悪用する脅威アクターについて警告する公開投稿を考慮すると、これらの攻撃は興味深く、同時に驚くべきものです。2022年のMicrosoftのブログ投稿では、脅威アクターが多要素認証（MFA）保護が欠如している組織のクラウドテナントアカウントに対してクレデンシャルスタッフィングを使用した攻撃が概説されていました。その後、脅威アクターはクラウドテナントアカウントへのアクセスを利用して悪意のあるOAuthアプリを作成し、被害者のExchange Onlineインスタンスへの侵入を可能にしました。皮肉なことに、これは今回のMicrosoftに対する攻撃で起こったことと全くかけ離れていませんでした。

なぜこれらのインシデントが発生するのでしょうか？

Midnight Blizzardの活動を分析すると、このグループの巧妙さが明らかになります。彼らは、認証メカニズムを迂回し、標的に侵入し、検出を回避するために、カスタム設計されたマルウェアと改変された公開ツールを組み合わせて使用しています。

MicrosoftはITインフラにおけるその規模と影響力から頻繁に標的とされますが、最近では彼らの製品と内部システムの両方に対する攻撃が成功するケースが急増しています。今回のパスワードスプレーを利用したようなインシデントは、多要素認証（MFA）によって軽減できた可能性がありますが、これは明らかに実装されていませんでした。Microsoftは、MFAを堅牢なサイバー衛生の重要な要素として推奨しています。セキュリティエコシステムにおける彼らの立場を考えると、より高いレベルの責任を負わせることが不可欠です。

Microsoft自身の言葉によれば、「この攻撃はMicrosoftの製品やサービスの脆弱性の結果ではなかった」とされており、このインシデントがなぜ発生したのかを理解する上でこれは重要です。残念ながらMicrosoftにとって、それは彼らのクラウド環境とインフラストラクチャが保護のためにどれほど不十分に構成されていたかに帰結します。

Microsoft 365のメールアカウント乗っ取り攻撃の被害に遭うことは新しいことではなく、これはHPEのような業界の巨大企業でさえ、クラウドのベクトルから標的とされ、うまく侵入されうることを示す好例です。

厳しい現実として、今日、大規模な多国籍IT組織が標的とされることはほとんど驚くべきことではありません。特に、これら両方のインシデントのように、データの持ち出しや盗難が関与している場合はなおさらです。しかし、より憂慮すべき傾向は、これらの組織がクラウド環境や資産を介してどれほど頻繁に標的とされているかということです。

クラウドコンピューティングがあらゆる規模の企業にスケーラビリティ、柔軟性、成長、コラボレーションをもたらすのと同様に、サイバー犯罪者、特に高度なスキルと動機を持つ国家支援型アクターを誘惑し、フェデレーションアクセス認証情報が盗まれたり、クラウド資産が誤って設定されて脆弱になったり、メールユーザーが巧妙なソーシャルエンジニアリング技術で誘導されたりする機会（そしてそれらは多数存在します）を探させます。クラウド環境とプラットフォームの相互接続性のおかげで、これらの取り組みのいずれか一つで成功するだけでも、攻撃者が活動を開始するには十分となり得ます。

何ができるでしょうか？

これらのインシデントは、あらゆる規模、あらゆる分野の組織にとって、厳粛な教訓となるはずです。サイバー攻撃は、その規模に関わらず、業界の巨人であっても誰でも標的になり得ます。実のところ、すべてのエンタープライズプラットフォーム、インフラ要素、およびサポート技術は、潜在的な攻撃の主要な標的です。

しかし、貴重な資産を保護するため、あるいは少なくとも攻撃者の仕事をより困難にするために、有効化し導入する必要がある、基本的で不可欠なセキュリティ機能とプロセスが存在します。例えば、以下のようなものです。

• 可能な限りあらゆる場所でMFAを強制する
• OAuthアプリケーションとトークンを監査し、いつでも取り消せる機能を持つ（特に「レガシー」として知られているもの）
• セキュリティポスチャを管理する（常に何か見落としや見逃しがあるため）
• 異常を監視して不審なアカウントの挙動を検出する（新しいアプリケーションの作成、新規/特権ロールの割り当て、データの持ち出しなど）

詳しく説明させてください。

構成監査とポスチャ評価により、例えばルートのAzure Security CenterレベルでMFAが強制されていなかった可能性のある設定ミスを特定し、修正を支援できます（図1）。

攻撃者は悪意のあるOAuthアプリケーションを悪用し、アクセスを仲介して特権を昇格させ、役員のメールを格納している企業のMicrosoftテナントに侵入できるまでに至りました。セキュリティチームは、ユーザーデータにアクセスする「接続されたOAuthアプリを修復、監査、許可、またはブロック」できる必要があります。

M365内の企業データとアプリがどのように連携できるかについて、アプリのガバナンスと制御を維持することは極めて重要です（図2）。

ID（Entra ID）とM365の挙動に関して、セキュリティチームは、Microsoft 365環境全体、およびセキュリティロールとアクセス許可において、異常や不審な挙動を検出、強調表示し、防止する能力が必要です。

参考文献：

• https://www.bleepingcomputer.com/news/security/hpe-russian-hackers-breached-its-security-teams-email-accounts/
• https://securityaffairs.com/157802/apt/midnight-blizzard-hacked-microsoft-email-accounts.html
• https://thehackernews.com/2024/01/microsoft-warns-of-widening-apt29.html
• https://www.wired.com/story/microsoft-hpe-midnight-blizzard-email-breaches/