「Microsoftアカウント」のセキュリティはなぜ崩れてしまったのか：明らかになった「MSA攻撃」の詳細【前編】

中国のサイバー犯罪集団「Storm-0558」が「Microsoftアカウント」（MSA）に侵入した。この攻撃はなぜ成功したのか。Microsoftが説明した手口や経緯の詳細とは。

[Alex Scroxton，TechTarget]

　2023年前半、中国のサイバー犯罪集団「Storm-0558」はMicrosoftのシングルサインオンツール「Microsoftアカウント」（MSA：Microsoft account）のコンシューマーキー（身分証）を不正入手した上、認証トークンを偽装して標的のメールアカウントに入り込んだ。ベールに包まれていたこの攻撃について、Microsoftは詳細を明らかにした。何が分かったのか。

Storm-0558はなぜ「Microsoftアカウント」攻撃に成功したのか

併せて読みたいお薦め記事

Microsoftを狙うサイバー犯罪集団「Storm-0558」とは

• 誰もがぞっとする「Microsoftアカウント」の侵害はなぜ起きたのか
• 「Microsoftアカウントの侵害」で苦境に立つ当事者　もはや弁明の余地なし

　Storm-0558は2023年4月頃から、偽装した認証トークンを使い米国の連邦政府機関を含む約25組織のメールアカウントに侵入。Microsoftが攻撃を受けたこと公表したのは、2023年7月だ。Microsoftは情報公開が遅れたことについて、セキュリティ専門家から批判を受けていた。

　Microsoftはこの攻撃について調査した結果を2023年９月に公開した。同社によれば、Storm-0558が攻撃に成功したのは、Microsoftのシステムへの侵入をしやすくする、複数のセキュリティのイベントが同時発生していたためだ。Microsoftは今回の攻撃を受け、システムのセキュリティを強化するとともに、再発防止に努めていると説明する。

　同社が説明する攻撃の経緯は次の通りだ。2023年4月、MSAコンシューマーキーのシステムがクラッシュ（システム停止）し、そのログ（いわゆるクラッシュダンプ）のスナップショットが作成された。クラッシュダンプには通常、機密情報は含まれない。ところが今回は、競合状態（2つのプログラムが同時に同じリソースにアクセスしようとするときに発生する問題）が生じ、クラッシュダンプに署名鍵が含まれてしまった。

　Microsoftは競合状態が生じた問題が検知されず、署名鍵が流出したことに気付かなかったという。そのため、同社が講じた標準的な対処ではセキュリティの穴をふさげず、Storm-0558は署名鍵を抜き取ることができたということだ。

---

　後編は、この攻撃に関するセキュリティ専門家の見解を紹介する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。