中国のハッキンググループがマイクロソフトの複数の脆弱性を悪用して米国政府のメールアカウントにアクセス
トッド・ビショップ著
マイクロソフトは、中国のハッカー集団が推定25の組織や政府機関の電子メールアカウントに侵入するために使用した手法について新たな詳細を明らかにしている。報道によると、このアカウントには米国商務長官ジーナ・ライモンド氏のアカウントも含まれているという。
金曜日に公開された新たな分析には、マイクロソフトのシステムとコードに存在する2つの欠陥に関する新情報が含まれている。この欠陥は、当時同社が知らなかったもので、ハッカーらが侵入するきっかけとなった。
マイクロソフト社は、両問題を修正し、同グループがアカウントへのアクセスを継続しようとする試みを事実上阻止し、今後同様の事態を防ぐ措置を講じたとしている。
しかし、この事件をめぐっては、バイデン政権からの厳しい監視に直面している。一方、マイクロソフトのライバルであるグーグルは、このハッキング事件を機に、米国政府は生産性向上ソフトウェアベンダーの選択肢をさらに多様化すべきだと主張している。
マイクロソフトは、Storm-0558と名付けたこのグループが、無効なMicrosoftアカウント(MSA)のコンシューマー署名キーをどのように入手したかについては依然調査中だとしている。このキーは、ハッカーらが認証トークンを偽造して電子メールアカウントにアクセスするのに役立った最初のステップだった。
しかしその間に同社は、MSA コンシューマー署名キーを入手後、同グループがこれを悪用して悪用したと考えられる 2 つの Microsoft の脆弱性に関する新たな詳細を提供した。
- 同社によれば、マイクロソフトのコードにおける「検証エラー」により、このグループはマイクロソフトの消費者アカウント向けのキーを入手したにもかかわらず、通常は政府や企業のアカウントへのアクセスに使用されるAzure Active Directoryトークンを偽造することができたという。
- 同社によれば、このグループは偽造トークンを使用してアクセスを獲得した後、「設計上の欠陥」により、以前に API から発行されたトークンを提示することで、Outlook Web Access アプリケーション プログラミング インターフェイス (API) から追加のアクセス トークンを取得することができたという。
マイクロソフトは、これらの問題を修正し、同グループが取得した消費者向け署名鍵のさらなる利用を阻止したと述べています。また、MSA鍵発行システムを「大幅に強化」し、エンタープライズアカウント用のよりセキュリティの高い鍵ストアに移行するなどしたと述べています。
この事件は、セキュリティ上の脆弱性を明らかにしただけでなく、一部の高度なセキュリティ監視機能を最も高額な Microsoft 365 プランに限定するという同社の慣行に疑問を投げかけています。
連邦民政執行部の機関は、Microsoft 365の最上位層でのみ利用可能な一種の監査ログに異常なアクティビティを検知したことで、このハッキングを発見しました。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の高官は今週、すべての組織がこれらの機能にアクセスできるべきだと記者団に語りました。
マイクロソフトはアプローチを変える意欲を示した。
「これまで当社は、お客様のご希望に応じて、セキュリティログをマイクロソフトのストレージサービス、または他のセキュリティ/ストレージベンダーを通じて保管するオプションをお客様に提供してきました」と、マイクロソフトの広報担当者は今週の電子メールによる声明で述べています。「現在、お客様からのフィードバックを評価しており、他のモデルも検討しています。この件については、CISA(米国情報保護局)をはじめとする関係機関と積極的に連携しています。」
