「Microsoftアカウント」のセキュリティはなぜ崩れてしまったのか明らかになった「MSA攻撃」の詳細【前編】

中国のサイバー犯罪集団「Storm-0558」が「Microsoftアカウント」(MSA)に侵入した。この攻撃はなぜ成功したのか。Microsoftが説明した手口や経緯の詳細とは。

2023年11月14日 07時00分 公開
[Alex ScroxtonTechTarget]

 2023年前半、中国のサイバー犯罪集団「Storm-0558」はMicrosoftのシングルサインオンツール「Microsoftアカウント」(MSA:Microsoft account)のコンシューマーキー(身分証)を不正入手した上、認証トークンを偽装して標的のメールアカウントに入り込んだ。ベールに包まれていたこの攻撃について、Microsoftは詳細を明らかにした。何が分かったのか。

Storm-0558はなぜ「Microsoftアカウント」攻撃に成功したのか

 Storm-0558は2023年4月頃から、偽装した認証トークンを使い米国の連邦政府機関を含む約25組織のメールアカウントに侵入。Microsoftが攻撃を受けたこと公表したのは、2023年7月だ。Microsoftは情報公開が遅れたことについて、セキュリティ専門家から批判を受けていた。

 Microsoftはこの攻撃について調査した結果を2023年9月に公開した。同社によれば、Storm-0558が攻撃に成功したのは、Microsoftのシステムへの侵入をしやすくする、複数のセキュリティのイベントが同時発生していたためだ。Microsoftは今回の攻撃を受け、システムのセキュリティを強化するとともに、再発防止に努めていると説明する。

 同社が説明する攻撃の経緯は次の通りだ。2023年4月、MSAコンシューマーキーのシステムがクラッシュ(システム停止)し、そのログ(いわゆるクラッシュダンプ)のスナップショットが作成された。クラッシュダンプには通常、機密情報は含まれない。ところが今回は、競合状態(2つのプログラムが同時に同じリソースにアクセスしようとするときに発生する問題)が生じ、クラッシュダンプに署名鍵が含まれてしまった。

 Microsoftは競合状態が生じた問題が検知されず、署名鍵が流出したことに気付かなかったという。そのため、同社が講じた標準的な対処ではセキュリティの穴をふさげず、Storm-0558は署名鍵を抜き取ることができたということだ。


 後編は、この攻撃に関するセキュリティ専門家の見解を紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news183.jpg

TikTokマーケティングの最適解へ スパイスボックスが縦型動画クリエイター集団M2DKと業務提携
スパイスボックスが縦型動画クリエイター集団であるM2DKと業務提携。生活者に向けて訴求...

news145.jpg

3D空間メディアのマーケティング効果を測る新指標「ブランドイマーシブタイム」とは?
電通と電通グループ、電通デジタルは、3D空間メディアが与えるマーケティング効果を測る...

news098.jpg

米炭酸飲料市場2位に躍進――ドクターペッパーがペプシ超えを成し遂げたすごいマーケティング【前編】
140年の歴史を持つ炭酸飲料ブランドのDr Pepperは、いかにして米国でナンバー2のソフトド...