2023年11月14日 07時00分 公開
特集/連載

「Microsoftアカウント」のセキュリティはなぜ崩れてしまったのか明らかになった「MSA攻撃」の詳細【前編】

中国のサイバー犯罪集団「Storm-0558」が「Microsoftアカウント」(MSA)に侵入した。この攻撃はなぜ成功したのか。Microsoftが説明した手口や経緯の詳細とは。

[Alex ScroxtonTechTarget]

 2023年前半、中国のサイバー犯罪集団「Storm-0558」はMicrosoftのシングルサインオンツール「Microsoftアカウント」(MSA:Microsoft account)のコンシューマーキー(身分証)を不正入手した上、認証トークンを偽装して標的のメールアカウントに入り込んだ。ベールに包まれていたこの攻撃について、Microsoftは詳細を明らかにした。何が分かったのか。

Storm-0558はなぜ「Microsoftアカウント」攻撃に成功したのか

 Storm-0558は2023年4月頃から、偽装した認証トークンを使い米国の連邦政府機関を含む約25組織のメールアカウントに侵入。Microsoftが攻撃を受けたこと公表したのは、2023年7月だ。Microsoftは情報公開が遅れたことについて、セキュリティ専門家から批判を受けていた。

 Microsoftはこの攻撃について調査した結果を2023年9月に公開した。同社によれば、Storm-0558が攻撃に成功したのは、Microsoftのシステムへの侵入をしやすくする、複数のセキュリティのイベントが同時発生していたためだ。Microsoftは今回の攻撃を受け、システムのセキュリティを強化するとともに、再発防止に努めていると説明する。

 同社が説明する攻撃の経緯は次の通りだ。2023年4月、MSAコンシューマーキーのシステムがクラッシュ(システム停止)し、そのログ(いわゆるクラッシュダンプ)のスナップショットが作成された。クラッシュダンプには通常、機密情報は含まれない。ところが今回は、競合状態(2つのプログラムが同時に同じリソースにアクセスしようとするときに発生する問題)が生じ、クラッシュダンプに署名鍵が含まれてしまった。

 Microsoftは競合状態が生じた問題が検知されず、署名鍵が流出したことに気付かなかったという。そのため、同社が講じた標準的な対処ではセキュリティの穴をふさげず、Storm-0558は署名鍵を抜き取ることができたということだ。


 後編は、この攻撃に関するセキュリティ専門家の見解を紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news067.jpg

Xにおける「バレンタイン」を含む言及数は過去4年間で最多だがUGC数は最少 どういうこと?
ホットリンクは、X(旧Twitter)に投稿されたバレンタインに関するUGCについて調査しまし...

news061.jpg

Expedia幹部が語る旅行体験向上のためのAI活用とグローバルブランド戦略
Expediaは、日本での18周年を記念してブランドを刷新した。テクノロジーへの投資を強化し...