マイクロソフトの多要素認証を迂回する攻撃が発見される

今回は「マイクロソフトの多要素認証を迂回する攻撃が発見される」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 サイバー犯罪者が、Microsoftの休眠アカウントを悪用して多要素認証を迂回(うかい)し、クラウドサービスやネットワークにアクセスしていることが明らかになった。

 Mandiantのサイバーセキュリティ研究者によれば、この手口は、ロシアの対外情報庁(SVR)との結びつきが指摘されているAPT29(Cozy Bearとも呼ばれる)の攻撃キャンペーンで使用されているという。他の攻撃的なサイバー脅威グループも、同様の手口を使用していると考えられている。

 Mandiantによれば、このサイバー犯罪グループは、「Microsoft Azure Active Directory」などのプラットフォームに、ユーザーが自分で多要素認証を導入するプロセスを悪用して「Microsoft 365」などのサービスのアカウントを乗っ取っているという。

 多くのプラットフォームでは、企業がユーザーに対して多要素認証を初めて導入する際に、ユーザー自身が多要素認証に使用するデバイス(通常はスマートフォン)を登録できるようにしている。このような手順が使用されるのは、できるだけ多くのユーザーに多要素認証を使ってもらうためには、これが最も効率のいい方法である場合が多いからだ。

 しかし、Mandiantが指摘しているように、多要素認証の登録プロセスに追加の検証手続きが存在しない場合、アカウントのユーザー名とパスワードを知ってさえいれば、(その手続きが行われるのが初めてである限り)誰でもそのアカウントに多要素認証を導入できてしまう。攻撃者は、この仕組みを利用してアカウントへのアクセスを獲得している。

 Mandiantが詳しく説明している事例では、APT29に所属していると思われる攻撃者が、設定はされたが一度も使われていないアカウントのパスワードを推測することによって、一連の非公開のメールボックス(入手手段は不明)へのアクセスを獲得していた。

 攻撃者は、Azure Active Directoryから多要素認証の設定を求められると、アカウントを乗っ取っただけでなく、自分が所有するデバイスを多要素認証の手続きに登録し、多要素認証を使用してそのアカウントにアクセスできるようにしていた。

 このような攻撃への対策としては、追加的な保護手段として、アカウントにデバイスを登録しようとしているユーザーが、正規のユーザーであることを確認する仕組みを導入することが望ましい。

 Microsoftは最近、企業が多要素認証に使用するデバイスの登録を管理できる機能の提供を開始しており、この仕組みを利用すれば、サイバー犯罪グループがアカウントへのアクセスを獲得するのを防ぐのに役立つ。

 今回の事例では休眠アカウントが標的となったが、対策としては、セキュリティチームがどのアカウントが使われていないかを把握し、それらのアカウントに意味が無ければ、アカウントを削除することも考えられる。

 また、それらのアカウントにデフォルトのパスワードが設定されていないかについても確認した方がよいだろう。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ゼロコピーで瞬時にプロセス間の大規模データ通信を可能にする「Eclipse iceoryx」ミドルウェア、Eclipse Foundationが公開
API
2021-07-14 23:46
「鬼滅」「巣ごもり」でコミック市場規模は史上最高に 電子版好調の内実を分析する (1/3 ページ)
くわしく
2021-03-05 07:45
OpenAI、「レッドチーム」を立ち上げ–AIのリスク管理強化に向け専門家を募集
IT関連
2023-09-22 11:37
Appleの音楽制作ソフト「GarageBand」がiPadに登場して10年
イラスト・デザイン
2021-03-12 06:46
ローカル5Gを利用した自動運転バスの公道実証、NECらが実施
IT関連
2022-02-17 03:14
「コープデリ」障害で食材配送できず 物流システム切り替えに失敗
企業・業界動向
2021-05-13 01:31
アトラシアン、新サービス「Jira Product Discovery」発表。製品開発チームがアイデアを集め、優先順位を付け、計画と進捗を共有
Atlassian
2023-02-15 15:38
大学VCの慶應イノベーション・イニシアティブが2号ファンドを103億円で募集終了
VC / エンジェル
2021-01-26 18:28
「Opera」ブラウザーに生成型AI「Aria」が搭載
IT関連
2023-05-27 18:31
ディーカレットが67億円調達、民間発行デジタル通貨と企業独自のスマコン実装が可能なプラットフォーム開発目指す
ブロックチェーン
2021-03-24 08:58
ケニア政府、デジタル金融機関のデータプライバシー問題で厳重な取り締まり
IT関連
2022-01-25 01:39
AI活用で5G網を自動復旧させる実証実験–KDDI、日立、NEC、OKIが共同
IT関連
2021-02-11 21:18
SHOWROOM、誹謗中傷コメントの監視AIを開発 “遠回しな言い方”でも事前検知してブロック
ロボット・AI
2021-02-23 16:19
LAPRAS、エンジニア採用の効率化を支援–大人数の候補者への対応を容易に
IT関連
2023-01-27 03:49