「Microsoft 365」に不正ログインした攻撃者はある手法を使い、長時間にわたりログイン状態を継続することに成功した。その原因は脆弱性ではないという。攻撃者は何を悪用したのか。
セキュリティベンダーのMitiga Securityは、「Microsoft 365」を狙ったビジネスメール詐欺(BEC)の事件を調査した。Microsoft 365は、Microsoftがサブスクリプション形式で提供する、OSやオフィスアプリケーションを中心とした製品/サービス群だ。
攻撃者はMicrosoft 365の多要素認証(MFA)を回避してアカウントに不正にログインし、標的となった組織の従業員に送金させようとした。問題はMicrosoft 365の脆弱(ぜいじゃく)性ではないとMitiga Securityは説明する。どういうことなのか。
今回の事件で、Microsoft 365のセキュリティ対策は設計通りに機能したが、それでも攻撃者はMFAを回避できた。つまりMicrosoft 365のセキュリティ設計に問題があるとMitiga Securityはみる。
攻撃者はMicrosoft 365のアカウントに入り込んだ後、長時間にわたってログイン状態を保持するために、新しい認証要素を追加した。どのようにして追加したのか、Mitiga Securityは当初、その方法が分からなかったという。
Mitiga Securityは脆弱(ぜいじゃく)性の可能性も視野に入れたが、調査を進めるうちに、ある問題が判明した。「セッションが有効であれば、MFAを再び要求されることなく、認証要素を追加できることに気付いた」と、同社の最高技術責任者(CTO)兼共同設立者であるオファー・マオ氏は述べる。攻撃者はその弱点を突き、攻撃に成功したということだ。同社の調査結果について、Microsoftはコメントしていない。
今回の事件には他にも「驚くべき点がある」とMitiga Securityは言う。企業がアカウントのセキュリティ設定にアクセスして、ユーザー認証方法を変更する際に、Microsoft 365がMFAを要求しなかったことだ。そのため攻撃者は、フィッシング(データ窃取のための詐欺)サイトを利用してログイン情報さえ入手すれば、新しい認証要素を追加して長時間にわたってログイン状態を継続することが可能だったと、Mitiga Securityは説明する。
後編は、攻撃者がMicrosoft 365のMFA回避に用いた「AiTM」(Adversary in The Middle)が、なぜ巧妙な手法なのかを見る。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。
なぜ料理の失敗写真がパッケージに? クノールが展開する「ジレニアル世代」向けキャンペーンの真意
調味料ブランドのKnorr(クノール)は季節限定のホリデーマーケティングキャンペーン「#E...
業界トップランナーが語る「イベントDX」 リアルもオンラインも、もっと変われる
コロナ禍を経て、イベントの在り方は大きく変わった。データを駆使してイベントの体験価...