マイクロソフトの多要素認証を迂回する攻撃が発見される

Danny Palmer (ZDNET.com) 翻訳校正: 石橋啓一郎

2022-08-23 13:23

 サイバー犯罪者が、Microsoftの休眠アカウントを悪用して多要素認証を迂回(うかい)し、クラウドサービスやネットワークにアクセスしていることが明らかになった。

スマートフォンを操作する様子
提供:Getty/Motortion

 Mandiantのサイバーセキュリティ研究者によれば、この手口は、ロシアの対外情報庁(SVR)との結びつきが指摘されているAPT29(Cozy Bearとも呼ばれる)の攻撃キャンペーンで使用されているという。他の攻撃的なサイバー脅威グループも、同様の手口を使用していると考えられている。

 Mandiantによれば、このサイバー犯罪グループは、「Microsoft Azure Active Directory」などのプラットフォームに、ユーザーが自分で多要素認証を導入するプロセスを悪用して「Microsoft 365」などのサービスのアカウントを乗っ取っているという。

 多くのプラットフォームでは、企業がユーザーに対して多要素認証を初めて導入する際に、ユーザー自身が多要素認証に使用するデバイス(通常はスマートフォン)を登録できるようにしている。このような手順が使用されるのは、できるだけ多くのユーザーに多要素認証を使ってもらうためには、これが最も効率のいい方法である場合が多いからだ。

 しかし、Mandiantが指摘しているように、多要素認証の登録プロセスに追加の検証手続きが存在しない場合、アカウントのユーザー名とパスワードを知ってさえいれば、(その手続きが行われるのが初めてである限り)誰でもそのアカウントに多要素認証を導入できてしまう。攻撃者は、この仕組みを利用してアカウントへのアクセスを獲得している。

 Mandiantが詳しく説明している事例では、APT29に所属していると思われる攻撃者が、設定はされたが一度も使われていないアカウントのパスワードを推測することによって、一連の非公開のメールボックス(入手手段は不明)へのアクセスを獲得していた。

 攻撃者は、Azure Active Directoryから多要素認証の設定を求められると、アカウントを乗っ取っただけでなく、自分が所有するデバイスを多要素認証の手続きに登録し、多要素認証を使用してそのアカウントにアクセスできるようにしていた。

 このような攻撃への対策としては、追加的な保護手段として、アカウントにデバイスを登録しようとしているユーザーが、正規のユーザーであることを確認する仕組みを導入することが望ましい。

 Microsoftは最近、企業が多要素認証に使用するデバイスの登録を管理できる機能の提供を開始しており、この仕組みを利用すれば、サイバー犯罪グループがアカウントへのアクセスを獲得するのを防ぐのに役立つ。

 今回の事例では休眠アカウントが標的となったが、対策としては、セキュリティチームがどのアカウントが使われていないかを把握し、それらのアカウントに意味が無ければ、アカウントを削除することも考えられる。

 また、それらのアカウントにデフォルトのパスワードが設定されていないかについても確認した方がよいだろう。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]