
今週マイクロソフトとアップルから発表された暴露は、サイバー脅威がCOVID-19のように持続的であること、そして脅威の主体が野生で適応し、認証情報を盗み、パッチを回避する能力があることを物語っている。
マイクロソフトは今週、国家の攻撃者に対する防御壁の発見と強化(マイクロソフトが Cigril と名付けたマルウェアを使用)の試みについて説明し、一方アップルは、モバイルデバイススパイウェア Pegasus のゼロデイ攻撃に対処するためのパッチに注力した。
参照: DLL サイドローディングと CVE 攻撃は脅威の多様性を示す (TechRepublic)
マイクロソフト、Storm-0558への対策を強化
中国と連携する攻撃者「Storm-0558」は今年初め、2年前にマイクロソフトのエンジニアの企業アカウントから盗んだ認証情報を利用して米国国務省と商務省の高官にアクセスしたと、同社は今週初めの投稿で説明している。
マイクロソフトは、2021 年 4 月に消費者署名システムがクラッシュし、その結果クラッシュしたプロセスのスナップショット、つまり「クラッシュ ダンプ」が作成され、攻撃者が資格情報にアクセスできたと説明しました。
マイクロソフトは、「機密情報を編集するクラッシュダンプには、署名鍵が含まれるべきではありません。今回のケースでは、競合状態により、署名鍵がクラッシュダンプに存在していました。クラッシュダンプに鍵情報が存在することは、当社のシステムでは検出されませんでした」と述べています。
マイクロソフトによると、攻撃者は「取得した」マイクロソフトアカウントのコンシューマー署名キーを使用して認証トークンを偽造し、ユーザーのメールにアクセスしたという。同社は「マイクロソフトは、すべての顧客に対してこの攻撃への対策を完了しました」と述べた。
同社によれば、認証情報マテリアルの予防、検出、対応を強化し、デバッグ環境で署名キーの存在をより正確に検出できるように認証情報スキャンを強化し、認証ライブラリでのキースコープ検証を自動化する拡張ライブラリをリリースし、関連ドキュメントを明確にしたという。
マイクロソフト、Storm-0558のトークン偽造方法について語る
長年にわたり攻撃者を追跡してきたマイクロソフトは、2023年7月に、Storm-0558が約25の組織のメールアカウント(政府機関を含む)と、これらの組織と関係があると思われる個人の消費者アカウントにアクセスした経緯について詳細を報告しました。攻撃者は、入手したマイクロソフトアカウントの消費者キーを用いて、OWAとOutlook.comにアクセスするためのトークンを偽造しました。
Microsoft Threat Intelligence によるエグゼクティブ分析では、研究者らは、2023 年 5 月 15 日以降、Storm-0558 が偽造認証トークンを使用してユーザーの電子メールにアクセスしたと報告しています。
「[マイクロソフト]はStorm-0558によるこの攻撃をブロックすることに成功しました」とMicrosoft Threat Intelligenceは報告しています。「国家による攻撃活動が確認された場合と同様に、マイクロソフトは標的となった、または侵害を受けたお客様に直接通知し、環境のセキュリティ保護に必要な重要な情報を提供しました。」
著者らはさらに、根本原因を特定し、攻撃の永続的な追跡を確立し、悪意のある活動を阻止し、環境を強化し、影響を受けたすべての顧客に通知し、複数の政府機関と連携したと述べた。
ゼロトラストの考え方と脆弱性
攻撃への対応における透明性を声高に訴えてきたマイクロソフトは、セキュリティプロトコルの強化に取り組んでいると述べた。先日完了したStorm-0558の調査において、同社のセキュリティチームは、メール、会議、ウェブ検索、その他のコラボレーションツールが、スピアフィッシング、トークン窃盗マルウェアなどの攻撃に対してユーザーを脆弱にする可能性があると指摘した。
「このため、ポリシーと当社のゼロトラストおよび『侵害を想定する』考え方に基づき、重要な資料は当社の生産環境から外に出るべきではない」とマイクロソフトは述べた。
Approov Mobile SecurityのCEO、テッド・ミラッコ氏は、報告書の中で最も気がかりな2つの点は、Storm-0558がトークンを偽造して政府高官の電子メールアカウントにアクセスできたことと、侵害が何年も発見されないまま続いていたことだと述べた。
「これは次のような疑問を生じさせます。偽造トークンによって現在どれだけのアカウントが侵害されているのか、そして、侵害された追加のアカウントをどのように特定するのか?」とミラッコ氏は述べた。「今回の調査結果は、高度な攻撃者から先手を打つためには常に警戒を怠らないこと、そして侵害されたアカウントへの継続的なアクセスを防ぐために鍵とトークンを頻繁にローテーションさせる必要があることを改めて示しています。」
複数の脅威に対処するには、多層的なセキュリティが重要
チェック・ポイント・ソフトウェアのグローバルCISO、ピート・ニコレッティ氏は、今回の事件は企業が多層的なセキュリティと堅牢な監視メカニズムの両方を実装する必要性を浮き彫りにしていると付け加えた。
「暗号鍵へのアクセス権を持つ人物を確認することも、すべての企業にとって不可欠です」とニコレッティ氏は述べた。「さらに、MX検索から隠蔽されたセキュリティツールを導入し、攻撃の次の段階を阻止するように設計されたエンドポイントツールを補完することが不可欠です。」
ニコレッティ氏は、企業メールの漏洩の可能性が生じた際には、企業は不正な鍵アクセスから積極的に保護する必要があると述べた。「チェックポイントでは、追加の認証要件を強制し、隔離されたオフラインネットワーク内で運用され、厳重なアクセス監視体制を維持する、専用の鍵管理システムの導入を強く推奨しています。」
Apple はパッチを発行、Pegasus に対して NSO グループとの攻防が続いている
Microsoftの説明の翌日、Appleは、NSO Groupのスパイウェア「Pegasus」を使った攻撃に利用されたとされる2つのゼロデイ脆弱性を修正するソフトウェアパッチの緊急リリースを発表しました。Pegasusは、サウジアラビア政府がジャーナリストのジャマル・カショギ氏を追跡し、殺害するために利用したことで悪名高いスパイウェアです。報道によると、この2つの新たな脆弱性は、Appleにとって今年13番目のゼロデイ脆弱性とのことです。
参照:イスラエルを拠点とする脅威アクターによるメール攻撃の高度化が進む(TechRepublic)
このキルチェーンは、最新のiOS 16.6搭載のiPhoneにも影響を与える可能性があり、被害者はソーシャルエンジニアリングに騙される可能性があります。Appleは、CVE(脆弱性)により、iPhone、Apple Watch、Mac、iPadなど、一部のAppleモバイルデバイスが攻撃にさらされる可能性があると発表しました。Appleによると、この攻撃チェーンはImage I/Oフレームワークを狙ったものです。Wallet機能の2つ目の脆弱性は、デバイスを「悪意を持って作成された添付ファイル」による攻撃にさらします。
iOS、iPadOS、watchOS、macOS、Ventura 向けのパッチは、もともとイスラエルの監視のための政府ツールとして意図されていた Pegasus に足かせを付ける最新の取り組みです。
ReliaQuest の CISO であるリック・ホランド氏は、新しいパッチは現在進行中の小競り合いの最新のものだと語った。
「今回のアップデートは、NSOグループが悪用しているゼロクリック脆弱性に関連していると確信しています」とホランド氏は述べた。「Appleは長年、NSOグループといたちごっこを続けています。研究者が脆弱性を発見し、Appleがパッチを当て、NSOグループが新たな脆弱性を発見するという悪循環が繰り返されるのです。」