「Microsoft Azure」を侵害 攻撃者はなぜアカウントに入り込めたのか？：巧妙になる不正アクセスの手口

セキュリティベンダーProofpointによると、「Microsoft Azure」に対して新しい手口を使った攻撃があり、機密情報が流出した恐れがある。攻撃者はどうやって侵入に成功したのか。

[Rob Wright，TechTarget]

　セキュリティベンダーProofpointが2024年2月に発表した内容によると、Microsoftのクラウドサービス群「Microsoft Azure」に数百件の不正アクセスがあった。Proofpointによれば、攻撃者は従来よく見られた手口とは異なるやり方で不正アクセスを成功させた。さまざまな企業が利用するMicrosoft Azureのアカウントに、攻撃者はどのようにして侵入したのか。

「Microsoft Azure」を侵害　攻撃者が使った“新たな手口”とは

併せて読みたいお薦め記事

「Microsoft Azure」の知識を深めるには

• Azure純正の管理ツール「Microsoft Azure Portal」と「Azure CLI」の違いとは？
• Azureの仮想マシンサービス「Azure VM」の料金はこうして決まる

　Proofpointによれば、攻撃者は標的にフィッシングメール（実在する組織を装うなどして機密情報を盗み出すためのメール）を送信し、Microsoft Azureの認証情報を狙っていた。フィッシングメールには、送信相手のクリックを誘う内容の文書が含まれていた。リンクをクリックすると、その接続は攻撃者が用意した不正なドメインにリダイレクト（別のURLへの転送）されたという。標的となったユーザーの職種は営業や財務、管理など幅広く、CEO（最高経営責任者）やCFO（最高財務責任者）を標的にしたケースもあると同社は説明する。

　攻撃者はOS「Linux」のユーザーエージェント（使用しているOSやWebブラウザの種別を示す情報）を使用して、Microsoft Azureにログインするためのツールに不正アクセスした。Proofpoint によれば、これはアカウント乗っ取りの従来の手口と異なっている。攻撃者は、次のユーザーエージェントを使用した。

• Mozilla/5.0（X11; Linux x86_64）AppleWebKit/537.36（KHTML, like Gecko）Chrome/120.0.0.0 Safari/537.36

　Proofpointによると、上記のユーザーエージェントからは、攻撃においてWebブラウザのバージョン「Google Chrome 120」が使用されていたことが分かる。これまでの同様の攻撃では、Google Chrome 120はほとんど使われなかったことから、「攻撃者が腕を磨いて手口を巧妙化させている」と同社は指摘する。

　今回の攻撃でProofpointは、Microsoftのサブスクリプション形式の製品・サービス群「Microsoft 365」に対する不正アクセスも観測した。同社によると、攻撃者はWebブラウザからMicrosoft 365に入り込み、メールボックスを不正利用した他、ユーザーの多要素認証（MFA）設定を操作した可能性がある。MFA設定の操作によって、攻撃者は電話番号といった本人確認情報を自分のものに置き換えた恐れがあるという。

　Proofpointによると、攻撃者は侵入後、金融情報や社内セキュリティ手順、認証情報といったデータをダウンロードした。標的のメールアカウントを悪用して、社内外の相手にフィッシングメールを送信したケースもあったという。

　今回の攻撃を実施したサイバー犯罪集団は特定されていない。ただしProofpointによれば、攻撃に使われたインターネット回線の地域情報から、攻撃者の居場所がある程度分かる。攻撃に使われたインターネット回線のプロバイダーは以下の通りだ。

• ロシアのRIPE NCC（Selena Telecomの名称で事業展開）
• ナイジェリアのAirtel NetworksとMTN Nigeria Communications

　ProofpointはMicrosoft Azureのユーザー企業に対し、Linuxのユーザーエージェント文字列や不正なドメインに注意する他、定期的にパスワードを変更することを推奨している。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。