編集部からのお知らせ
新着記事まとめPDF「ランサムウェア」
注目の記事まとめPDF「Chrome OS」

MS、「Exchange」の悪用によるスパム送信事例を紹介--MFAで回避できた可能性も

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2022-09-26 11:29

 Microsoftは、攻撃者が「OAuth」アプリを巧みに悪用して、被害者の「Exchange」サーバーを再設定し、スパムを送信している事例を明らかにした。

ノートPCを前に困惑した様子の人物
提供: Getty Images/iStockphoto

 Microsoftによると、この複雑な攻撃の狙いは、偽の懸賞を宣伝する大量のスパムを、実際の送信元(攻撃者自身のIPアドレス、またはサードパーティーのメールマーケティングサービス)ではなく、侵害されたExchangeドメインから送信されたように偽装することにあるという。

 Microsoft 365 Defender Research Teamは、「このスキームによって、標的が不当に料金を請求された可能性はあるが、認証情報のフィッシングやマルウェアの配布など、明らかなセキュリティ上の脅威を示す証拠はなかった」と述べている。

 Exchangeサーバーにスパムを送信させるために、攻撃者はまず十分に保護されていない標的のクラウドテナントを侵害し、特権ユーザーアカウントへのアクセスを取得してから、権限を持つ、悪意のあるOAuthアプリケーションを作成した。OAuthアプリを使用すると、ほかのアプリへの制限付きアクセスを許可できるが、攻撃者はこの機能を別の方法で悪用した。

 標的となった管理者アカウントはどれも多要素認証(MFA)が有効になっていなかった。MFAを使用していれば、攻撃を阻止できた可能性がある。

 内部に侵入した攻撃者は、「Azure Active Directory」(AAD)を使用してOAuthアプリを登録し、「Exchange Online PowerShell」モジュールのアプリ専用認証のアクセス許可を追加して、そのアクセス許可に管理者の同意を与えた後、新しく登録したアプリにグローバル管理者とExchange管理者の役割を割り当てた。

 Microsoftは、「脅威アクターは、自分自身の認証情報をOAuthアプリケーションに追加することで、最初に侵害されたグローバル管理者がパスワードを変更した場合でも、アプリケーションにアクセスできるようにした」と述べている。

 「これらの行為により、攻撃者は高度な権限を持つアプリケーションを乗っ取ることに成功した」

 これらの下準備を終えた後、攻撃者はOAuthアプリを使用してExchange Online PowerShellモジュールに接続し、Exchangeの設定を変更して、サーバーが攻撃者のインフラストラクチャーに関連するIPアドレスからスパムをルーティングするようにした。

攻撃者がExchangeの設定を変更してスパムを送信する方法を説明した図
提供:Microsoft

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]