セキュリティベンダーProofpointによると、「Microsoft Azure」に対して新しい手口を使った攻撃があり、機密情報が流出した恐れがある。攻撃者はどうやって侵入に成功したのか。
セキュリティベンダーProofpointが2024年2月に発表した内容によると、Microsoftのクラウドサービス群「Microsoft Azure」に数百件の不正アクセスがあった。Proofpointによれば、攻撃者は従来よく見られた手口とは異なるやり方で不正アクセスを成功させた。さまざまな企業が利用するMicrosoft Azureのアカウントに、攻撃者はどのようにして侵入したのか。
Proofpointによれば、攻撃者は標的にフィッシングメール(実在する組織を装うなどして機密情報を盗み出すためのメール)を送信し、Microsoft Azureの認証情報を狙っていた。フィッシングメールには、送信相手のクリックを誘う内容の文書が含まれていた。リンクをクリックすると、その接続は攻撃者が用意した不正なドメインにリダイレクト(別のURLへの転送)されたという。標的となったユーザーの職種は営業や財務、管理など幅広く、CEO(最高経営責任者)やCFO(最高財務責任者)を標的にしたケースもあると同社は説明する。
攻撃者はOS「Linux」のユーザーエージェント(使用しているOSやWebブラウザの種別を示す情報)を使用して、Microsoft Azureにログインするためのツールに不正アクセスした。Proofpoint によれば、これはアカウント乗っ取りの従来の手口と異なっている。攻撃者は、次のユーザーエージェントを使用した。
Proofpointによると、上記のユーザーエージェントからは、攻撃においてWebブラウザのバージョン「Google Chrome 120」が使用されていたことが分かる。これまでの同様の攻撃では、Google Chrome 120はほとんど使われなかったことから、「攻撃者が腕を磨いて手口を巧妙化させている」と同社は指摘する。
今回の攻撃でProofpointは、Microsoftのサブスクリプション形式の製品・サービス群「Microsoft 365」に対する不正アクセスも観測した。同社によると、攻撃者はWebブラウザからMicrosoft 365に入り込み、メールボックスを不正利用した他、ユーザーの多要素認証(MFA)設定を操作した可能性がある。MFA設定の操作によって、攻撃者は電話番号といった本人確認情報を自分のものに置き換えた恐れがあるという。
Proofpointによると、攻撃者は侵入後、金融情報や社内セキュリティ手順、認証情報といったデータをダウンロードした。標的のメールアカウントを悪用して、社内外の相手にフィッシングメールを送信したケースもあったという。
今回の攻撃を実施したサイバー犯罪集団は特定されていない。ただしProofpointによれば、攻撃に使われたインターネット回線の地域情報から、攻撃者の居場所がある程度分かる。攻撃に使われたインターネット回線のプロバイダーは以下の通りだ。
ProofpointはMicrosoft Azureのユーザー企業に対し、Linuxのユーザーエージェント文字列や不正なドメインに注意する他、定期的にパスワードを変更することを推奨している。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
新富裕層の攻略法 「インカムリッチ」の財布のひもを緩めるマーケティングとは?
パワーカップルの出現などでこれまでとは異なる富裕層が生まれつつあります。今回の無料e...
ブラックフライデーのオンラインショッピング 日本で売り上げが大幅に増加した製品カテゴリーは?
Criteoは、日本国内のブラックフライデーのオンラインショッピングに関する分析結果を発...
Omnicomが Interpublic Groupを買収 世界最大級の広告会社が誕生へ
OmnicomがInterpublic Group(IPG)を買収する。これにより、世界最大の広告会社が誕生し...