Microsoftによると、中国のハッカー集団が米国や西欧の政府機関を含む世界中の20以上の組織の電子メールアカウントを侵害した。
この攻撃はStorm-0558 として追跡されている脅威グループをターゲットとしており、電子メール システムに侵入して機密情報を収集することに重点を置いたサイバースパイ活動組織であると考えられています。
Microsoft は、異常なメール活動に関する顧客からの報告を受けて、2023 年 6 月 16 日にこれらの攻撃の調査を開始しました。
同社は、2023 年 5 月 15 日以降、Storm-0558 攻撃者が約 25 の組織に属する Outlook アカウントと、これらの組織に関連していると思われる一部の消費者アカウントにアクセスできたことを発見しました。
これを行うために、攻撃者は、盗んだ Microsoft アカウント (MSA) の消費者署名キーを利用して偽造した認証トークンを使用しました。
「Microsoftの調査により、Storm-0558はユーザーの電子メールにアクセスするための認証トークンを偽造し、Exchange Online(OWA)のOutlook Web AccessとOutlook.comを使用して顧客の電子メールアカウントにアクセスしたことが判明した」とMicrosoftは火曜日の夜遅くに公開したブログ投稿で述べた。
「攻撃者は、取得した MSA キーを使用して、OWA および Outlook.com にアクセスするためのトークンを偽造しました。MSA (コンシューマー) キーと Azure AD (エンタープライズ) キーは別のシステムから発行および管理され、それぞれのシステムでのみ有効である必要があります。攻撃者トークン検証の問題を悪用して、Azure AD ユーザーになりすまして企業メールにアクセスしました。」
Microsoftは、「この攻撃の軽減を完了した」後、さらなる不正アクセスを示す証拠は見つからなかったと付け加えた。
米国政府によって発見され報告された
この事件は、マイクロソフトのクラウドベースの電子メール サービスへの不正アクセスが発見された後、先月米国政府当局者によってマイクロソフトに報告されました。
これは国家安全保障会議のアダム・ホッジ報道官がCNNと共有した声明で認めた。
「先月、米国政府の保護措置によりマイクロソフトのクラウドセキュリティへの侵入が特定され、機密扱いでないシステムに影響が及んだ」とホッジ氏はCNNに語った。
「当局は直ちにマイクロソフトに連絡し、クラウド サービスのソースと脆弱性を突き止めました。私たちは引き続き、米国政府の調達プロバイダーに対して高いセキュリティの基準を設け続けています。」
Microsoftは火曜日、リトアニアのビリニュスで開催されたNATO首脳会議に出席している組織を標的とした最近のスピアフィッシング攻撃において、ロシアを拠点とするサイバー犯罪グループRomComがパッチ未適用のOfficeゼロデイを悪用したことも明らかにした。
Comments