マイクロソフト、中国のハッカーが米国と欧州政府を狙っていると警告

Microsoft は、中国のハッカーが米国と西ヨーロッパの政府の電子メール アカウントにアクセスしていたと報告しました。同社は、ハッカー集団はStorm-0558として知られるグループであると特定し、スパイ行為を目的とした可能性が高いと述べた。

このハッキングは1か月間検出されず、政府機関やシンクタンクなど約25の組織が使用する電子メールアカウントを標的とした。Microsoftは、ハッカーが電子メール、文書、パスワードなどの機密情報を盗む可能性があると述べた。

同社は、影響を受けた組織に通知し、被害を軽減するための措置を講じたと述べた。同社はまた、法執行機関と協力してハッキングを調査することも強調した。Microsoft はブログ投稿で次のように説明しています。

攻撃者は、取得した MSA キーを使用して、OWA および Outlook.com にアクセスするためのトークンを偽造しました。MSA (コンシューマー) キーと Azure AD (エンタープライズ) キーは別のシステムから発行および管理され、それぞれのシステムでのみ有効である必要があります。

攻撃者はトークン検証の問題を悪用して、Azure AD ユーザーになりすまして企業メールにアクセスしました。Azure AD キーまたはその他の MSA キーがこの攻撃者によって使用された形跡はありません。

OWA と Outlook.com は、攻撃者が取得した MSA キーで偽造されたトークンを使用していることが確認された唯一のサービスです。

同社は国土安全保障省（DHS）のサイバーセキュリティ・インフラストラクチャセキュリティ局（CISA）と協力して影響を受ける顧客に対応している。Microsoft は、そのような顧客または組織には直接連絡を取っていると付け加えています。

Microsoft がこの攻撃に対抗するための軽減策をどのようにまとめているかは次のとおりです。

Microsoft は取得された MSA キーを緩和し、テレメトリはアクターのアクティビティがブロックされたことを示しています。調査を進めるにあたり、次のような積極的な措置を講じました。

• Microsoft は、取得した MSA キーで署名されたトークンの OWA での使用をブロックし、さらなる脅威アクターの企業メール活動を防止しました。
• Microsoft は、脅威アクターがトークンを偽造するためにキーを使用することを防ぐために、キーの置き換えを完了しました。
• Microsoft は、影響を受けるすべての消費者顧客に対して、キーを使用して発行されたトークンの使用をブロックしました。

Storm-0558 は、数年前から活動している有名な中国のハッキング グループです。このグループは、いくつかの注目を集めたハッキン​​グに関与しているとされています。そして、このハッキングは、政府機関やその他の機密性の高い組織を標的とした最新の注目を集めているサイバー攻撃です。

近年、中国のサイバースパイ活動の脅威に対する懸念が高まっています。最近、マイクロソフトは、国家支援を受けた中国の攻撃者が米国の重要インフラを標的にしていると発表しました。しかし、中国政府はハッキングへの関与を否定している。この攻撃は、米国の規制の中で同国が国内の半導体産業を支援する政策を再考した後に発生した。