「Microsoftアカウント」のセキュリティはなぜ崩れてしまったのか明らかになった「MSA攻撃」の詳細【前編】

中国のサイバー犯罪集団「Storm-0558」が「Microsoftアカウント」(MSA)に侵入した。この攻撃はなぜ成功したのか。Microsoftが説明した手口や経緯の詳細とは。

2023年11月14日 07時00分 公開
[Alex ScroxtonTechTarget]

 2023年前半、中国のサイバー犯罪集団「Storm-0558」はMicrosoftのシングルサインオンツール「Microsoftアカウント」(MSA:Microsoft account)のコンシューマーキー(身分証)を不正入手した上、認証トークンを偽装して標的のメールアカウントに入り込んだ。ベールに包まれていたこの攻撃について、Microsoftは詳細を明らかにした。何が分かったのか。

Storm-0558はなぜ「Microsoftアカウント」攻撃に成功したのか

 Storm-0558は2023年4月頃から、偽装した認証トークンを使い米国の連邦政府機関を含む約25組織のメールアカウントに侵入。Microsoftが攻撃を受けたこと公表したのは、2023年7月だ。Microsoftは情報公開が遅れたことについて、セキュリティ専門家から批判を受けていた。

 Microsoftはこの攻撃について調査した結果を2023年9月に公開した。同社によれば、Storm-0558が攻撃に成功したのは、Microsoftのシステムへの侵入をしやすくする、複数のセキュリティのイベントが同時発生していたためだ。Microsoftは今回の攻撃を受け、システムのセキュリティを強化するとともに、再発防止に努めていると説明する。

 同社が説明する攻撃の経緯は次の通りだ。2023年4月、MSAコンシューマーキーのシステムがクラッシュ(システム停止)し、そのログ(いわゆるクラッシュダンプ)のスナップショットが作成された。クラッシュダンプには通常、機密情報は含まれない。ところが今回は、競合状態(2つのプログラムが同時に同じリソースにアクセスしようとするときに発生する問題)が生じ、クラッシュダンプに署名鍵が含まれてしまった。

 Microsoftは競合状態が生じた問題が検知されず、署名鍵が流出したことに気付かなかったという。そのため、同社が講じた標準的な対処ではセキュリティの穴をふさげず、Storm-0558は署名鍵を抜き取ることができたということだ。


 後編は、この攻撃に関するセキュリティ専門家の見解を紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news063.jpg

約8割の人が経験する「見づらいホームページ」 最も多い理由は?
NEXERはくまwebと共同で「見づらいホームページ」に関するアンケートを実施した。

news119.jpg

スマホ時間の奪い合い「利用者増えても、利用時間は減少」 唯一の勝者は?
データマーケティング支援のGlossomは、「スマートフォンでのメディアとコマースの利用に...

news100.jpg

生成AI時代のコンテンツ制作の課題 アドビが考える解決法は?
求められる顧客体験はますます高度になる一方で、マーケターのリソースは逼迫している。...