国土安全保障省のサイバー安全審査委員会 (CSRB) は、米国政府機関が使用する Microsoft Exchange アカウントに対する最近の中国によるハッキングを受けて、クラウド セキュリティ慣行の詳細な審査を実施する計画を発表しました。
CSRB は官民の協力機関であり、重大なイベントをより深く理解し、根本原因を特定し、サイバーセキュリティに関する情報に基づいた推奨事項を発行するための詳細な調査を実施するために設立されました。
この場合、 CSRB は、政府、業界、クラウド サービス プロバイダー (CSP) がクラウドでの ID 管理と認証を強化し、すべての関係者向けに実用的なサイバーセキュリティの推奨事項を作成する方法を検討します。
これらの勧告は CISA と現米国政府に転送され、政府のシステムとアカウントを保護するためにどのような措置を講じるべきかを決定します。
国土安全保障省のアレハンドロ・マヨルカス長官は、「あらゆる種類の組織が米国民にサービスを提供するためにクラウド・コンピューティングへの依存度を高めており、クラウド・コンピューティング技術の脆弱性を理解することが不可欠になっている」と述べた。
「クラウド セキュリティは、e コマース プラットフォームからコミュニケーション ツール、重要なインフラストラクチャに至るまで、当社の最も重要なシステムのバックボーンです。」
Storm-0558 Microsoft Exchange のハッキング
中国の攻撃者は、この盗んだキーを使用して、Exchange Online (OWA) の Outlook Web Access の GetAccessTokenForResource API 関数のゼロデイ脆弱性を悪用し、認証トークンを偽造しました。
これらのトークンを使用すると、攻撃者は Azure アカウントになりすまして、多数の政府機関や組織の電子メール アカウントにアクセスし、電子メールを監視および盗むことができます。
これらの攻撃の後、Microsoft は Microsoft 顧客に適切なログを無料で提供しなかったことに対して多くの批判にさらされました。代わりに、Microsft は、これらの攻撃の検出に役立つ可能性のあるログ データを取得するために追加のライセンスを購入することを顧客に要求しました。
Microsoft は、CISA と協力して攻撃の検出に必要な重要なログ データを特定した後、このデータをすべての Microsoft 顧客に無料で提供すると発表しました。
Microsoft は、さらなる悪用を防ぐために、盗まれた署名キーを取り消し、API の欠陥を修正しました。それでも、事件の調査では、ハッカーがそもそもどのようにして鍵を入手したのかを正確に明らかにすることはできませんでした。
最初の侵害の発見から 2 週間後、Wiz の研究者は、Storm-0558 のアクセスは、Microsoft の OpenID v2.0 で動作する Azure AD アプリを含む、Microsoft が以前に報告したものよりもはるかに広範であったと報告しました。
Wiz 氏は、中国のハッカーが侵害されたキーを使用して、Microsoft アカウント認証をサポートするさまざまな Microsoft アプリケーションや顧客アプリケーションにアクセスした可能性があることを明らかにしたため、この事件は Exchange サーバーへのアクセスと電子メールの流出に限定されない可能性があります。
侵害の深刻な性質、必要とされる広範な調査努力、および現在までに決定的な結果が得られていないことを考慮して、米国政府は CSRB に対し、この事件の包括的な調査を行うよう命じ、それがユーザー、擁護者、そして保護者を強化する洞察を生み出すことを期待しています。サービスプロバイダーを将来の脅威に対抗します。
CSRB の過去のレビューには、2021 年のLog4j ソフトウェアの広範囲に影響を与える一連の脆弱性や、SIM スワッピングやソーシャル エンジニアリングなどのシンプルかつ非常に効果的な手法を使用してフォーチュン 500 企業への侵入に優れたハッキング グループであるLapsus$ の活動が含まれています。
Comments