Menu

マイクロソフトは、中国のハッカーが Windows のクラッシュダンプから盗んだ署名キーを利用して米国のシステムを侵害したと説明しています…

  • Howero
  • abmhh
  • 0 comments
マイクロソフトは、中国のハッカーが Windows のクラッシュダンプから盗んだ署名キーを利用して米国のシステムを侵害したと説明しています…
ハッカー
(画像提供:Future)

知っておくべきこと

  • マイクロソフトは、米国政府関係者の複数のアカウントが侵害されたことを受けて、サイバーセキュリティ諮問委員会の調査を受けている。 
  • 同社は現在、ハッカー集団「Storm-0558」がWindowsのクラッシュダンプからの署名キーを介してこれらのアカウントにアクセスできたことを明らかにした。 
  • Microsoft は、侵害は解決されており、影響を受けたのは Exchange Online と Outlook のみであると述べています。 
  • セキュリティ研究者は、侵害はより広範囲に及び、Outlook、SharePoint、OneDrive、Teams などのクラウドベースの Microsoft プラットフォームにも影響を与えていると反論した。  

少し前、バイデン政権が委託した米国サイバーセキュリティ諮問委員会は、Storm-0558として知られる中国のハッカー集団が24以上の政府機関のMicrosoftメールアカウントに侵入したことを受け、Microsoftに対する調査を開始しました。委員会は、この件へのMicrosoftの関与を明らかにすることを目指しており、この件にはさらなる裏があるのではないかとの憶測や、Microsoftの透明性の欠如が指摘されています。  

マイクロソフトは問題を軽減することができましたが、インシデントがどのように発生し、攻撃者がどのようにして資格情報にアクセスできたのかを示す詳細な説明は提供しませんでした。 

BleepingComputer の新しいレポートによると、Microsoft は、Storm-0558 が Microsoft エンジニアの企業アカウントに侵入した後、Windows クラッシュ ダンプから署名キーを盗み、職員の認証情報にアクセスできたことを明らかにしました。  

ハッカーたちはこの鍵を利用して、複数の組織のExchange OnlineとAzure Active Directoryのアカウントを侵害しました。この侵害の影響を受けた当事者には、米国国務省や商務省を含む米国政府機関も含まれていました。この件は多くの関係者の注目を集め、中でもロン・ワイデン上院議員は7月27日に書簡を送付し、サイバー安全審査委員会に調査を要請しました。  

当時、鍵となる情報が含まれていないと考えられていたこのクラッシュダンプは、その後、隔離された本番環境ネットワークから、インターネットに接続された社内ネットワーク上のデバッグ環境に移動されたことが判明しました。これは、当社の標準的なデバッグプロセスと一致しています。認証情報スキャン方法では、このダンプの存在は検出されませんでした(この問題は修正済みです)。

マイクロソフト

マイクロソフトはさらに、中国のハッカーグループが、GetAccessTokenForResourceAPI のゼロデイ検証問題(現在は軽減されている)を悪用して署名付きアクセストークンを偽造し、当局者のアカウントを偽装できたと詳細を述べた。  

同社はまた、当局のアカウントへの侵入に使用されたMSAキーは、消費者の署名システムの故障後にクラッシュダンプに漏洩した2021年4月の日付であるとも詳述した。

Microsoft によれば:

Windows と Xbox の熱狂的なファンのための最新ニュース、レビュー、ガイド。

ログ保持ポリシーにより、このアクターによるこのデータの持ち出しの具体的な証拠を含むログはありませんが、これがアクターがキーを入手した最も可能性の高いメカニズムでした。 

同社は、クラッシュダンプには署名鍵が含まれるべきではなかったものの、競合状態によって含まれてしまったと付け加えた。注目すべきは、クラッシュダンプが同社の本番環境ネットワークからインターネットに接続された社内デバッグ環境に移行された点である。しかし、マイクロソフトは、認証情報スキャン手法では攻撃者の存在が検出されなかったとして、この問題はその後解決したと発表している。  

分析: 侵害の重大度はどの程度でしたか? 

Android 上の Microsoft Outlook

(画像提供:Future)

Wizのセキュリティ研究者であるシル・タマリ氏によると、中国人ハッカーによる侵害はExchange OnlineとOutlookだけにとどまらず、Microsoftのクラウドサービスにも及んだという。タマリ氏は、この侵害によって攻撃者がMicrosoftのクラウドサービスにアクセスできたと指摘している。 

これらのサービスへのアクセスが広範に及ぶということは、攻撃者がキーを悪用して、Outlook、SharePoint、OneDrive、Teamsなど、ほぼすべてのクラウドベースのMicrosoftプラットフォームを偽装できることを意味します。Microsoftアカウント認証をサポートするアプリも例外ではありません。 

しかし、Microsoftは、この鍵は個人アカウントを受け入れるアプリでのみ利用できるという主張を否定しました。これを受けて同社は、攻撃者がさらに侵害された鍵にアクセスしようとする試みを阻止するため、有効なMSA署名鍵をすべて失効させました。また、これにより新しいアクセストークンの生成もブロックされました。最終的に、同社は最近生成されたアクセストークンを、エンタープライズシステムで使用されているキーストアに移動しました。 

Wiz の CTO 兼共同創設者である Ami Luttwak 氏は、BleepingComputer のインタビューで次のように語っています。 

Microsoftの世界では、あらゆるものがアクセスにAzure Active Directoryの認証トークンを利用しています。AAD署名キーを持つ攻撃者は、想像しうる限り最強の攻撃者です。なぜなら、彼らはほぼあらゆるアプリに、あらゆるユーザーとしてアクセスできるからです。これは、究極のサイバーインテリジェンスによる「シェイプシフター」の超能力です。 

Tenable の CEO アミット・ヨラン氏は、セキュリティ侵害とセキュリティ対策に関する透明性の欠如を理由に、マイクロソフトを何度も非難してきた。   

ケビン・オケムワは、ケニアのナイロビを拠点とするベテランのテクノロジージャーナリストです。Windows Centralで業界の最新トレンドや動向を幅広く取材し、豊富な経験を有しています。イノベーションへの情熱と細部への鋭い洞察力を持つ彼は、OnMSFT、MakeUseOf、Windows Reportといった主要メディアに寄稿し、Microsoftエコシステムを取り巻くあらゆるトピックについて、洞察力に富んだ分析と最新ニュースを提供しています。常に変化するテクノロジーのトレンドを追っている暇な時は、世界を旅したり、音楽を聴いたりしています。