マイクロソフト、クラウドアカウントを狙ったパスワードスプレーの増加を警告

Microsoftによると、特権クラウドアカウントやエグゼクティブなどの高レベルのアイデンティティを標的としたパスワードスプレー攻撃の増加を検出したと発表しました。

https://www.microsoft.com/security/blog/2021/10/26/protect-your-business-from-password-sprays-with-microsoft-dart-recommendations/

過去1年間、マイクロソフトの検知・応答チーム(DART)とマイクロソフトの脅威情報チームは、攻撃の手段としてパスワードスプレーの使用が増加していることを確認しました。

パスワードスプレー攻撃とは、ブルートフォース攻撃の一種であり、攻撃者はよく使われる少数のパスワードを使って大量のアカウントリストへのアクセスを試みる攻撃です。

このような攻撃では、同じパスワードを使用してアカウントを切り替えながら、簡単にアクセスできるアカウントを見つけ、パスワードロックアウトや悪意のあるIPブロック(ボットネットを使用している場合)などの防御策が作動しないようにすることがよくあります。

この攻撃により、膨大なパスワードリストを一度に1つずつ調べて素早く少数のアカウントにログインしようとする古典的なブルートフォース攻撃で狙われたときに起こるような、アカウントロックされる可能性は低くなります。

過去1年間、Microsoft Detection and Response Team(DART)とMicrosoftの脅威情報チームは、攻撃手段としてのパスワードスプレーの使用が増加していることを確認しました。

最近ではクラウドの管理者アカウントがパスワードスプレー攻撃の標的になるケースが増えているため、何が標的になっているかを理解することが重要です

MSは、このような攻撃に狙われた際にアカウントが侵害されるリスクを大幅に下げるため、可能な限りすべてのアカウントで多要素認証(MFA)を有効にして実施し、パスワードレス技術を採用することを推奨しています。

管理者やハイクラスのアカウントが狙われるケースが増加

マイクロソフトは1年前にも警告したように、パスワードスプレー攻撃は最も一般的な認証攻撃の一つであり、企業アカウント侵害の3分の1以上を占めているとのことです。

また最近のパスワードスプレー攻撃では、さまざまな権限を持つ管理者アカウントが狙われていることを確認されており、最もよく狙われるアカウントとしてセキュリティ、Exchangeサービス、グローバル、条件付きアクセスの管理者から、SharePoint、ヘルプデスク、請求書作成、ユーザー、認証、会社の管理者などが挙げられます。

パスワードスプレー攻撃とは?

このような特権アカウント以外にも、エグゼクティブレベルの役員を含む人物や機密データにアクセスできる人物を狙った攻撃も行われています。

幹部職に就いているスタッフのためにポリシーの例外を設けるのは簡単ですが、実際にはこれらのアカウントが最も狙われています。

構成上の弱点を作らないよう、必ず論理的な方法で保護を適用してください

NSAは、2021年7月ロシア国家が支援しているハッキンググループ「Fancy Bear」が、米国政府や国防総省の機関を含む米国内外の組織に対して、Kubernetesクラスターからパスワードスプレー攻撃を仕掛けていたことを明らかにしました。

また、マイクロソフトは2021年10月初め、イランと連携したDEV-0343とロシアが支援するNobeliumグループが、それぞれ防衛技術企業やマネージドサービスプロバイダー(MSP)またはクラウドサービスプロバイダーを標的とした攻撃でパスワードスプレーを使用しているのを発見したとも発表していました。

コメントを残す

メールアドレスが公開されることはありません。