Microsoft、中国のハッカーグループがどのようにして政府の電子メールアカウントにアクセスできたのかを説明

7 月、Microsoft は、Storm-0558 というラベルが付いた既知の中国のハッカー グループが米国および西ヨーロッパの政府の電子メール アカウントにアクセスできたことを明らかにしました。同社は、このグループが「入手したMSAキーを使用してOWAとOutlook.comにアクセスするためのトークンを偽造した」と述べ、「攻撃者はトークン検証の問題を悪用してAzure ADユーザーになりすまし、企業メールにアクセスした」と付け加えた。

Microsoft は、MSA (Microsoft アカウント) キーがどのように取得されたか、またコンシューマ キーが企業の Outlook 電子メール アカウントにどのようにアクセスできたのかについて調査を開始しました。同社は今週、その調査結果を Microsoft Security Responses Center Web サイトに掲載しました。

Microsoft は、2 年以上前に起こった出来事が、このグループが MSA キーにアクセスした原因であると述べています。

私たちの調査により、2021 年 4 月に消費者署名システムがクラッシュした結果、クラッシュしたプロセスのスナップショット (「クラッシュ ダンプ」) が生成されたことが判明しました。機密情報を編集するクラッシュ ダンプには、署名キーを含めないでください。この場合、競合状態によりクラッシュ ダンプにキーが存在することが可能になりました (この問題は修正されました)。クラッシュ ダンプ内のキー マテリアルの存在は、システムによって検出されませんでした。

その後、クラッシュ ダンプ データは「隔離された運用ネットワークからインターネットに接続された企業ネットワーク上のデバッグ環境に移動される」という標準的な手順であったと Microsoft は付け加えました。ただし、クラッシュ ダンプ データのスキャンでは MSA キーが検出されませんでした。Microsoft によれば、これも修正されているという。

同社は、Storm-0558 が Microsoft のエンジニアの 1 人の企業アカウントを侵害することで、クラッシュ ダンプ データから MSA キーを取得できたと考えています。特定のアカウントが侵害されたことを示す直接的な証拠はありませんが、Microsoft は「これが攻撃者がキーを取得した最も可能性の高いメカニズムである」と考えています。

最後に、同社は、API の更新時のエラーにより、Storm-0558 が MSA キーを複製し、企業の電子メール アカウントへのアクセスに使用されるキーに変えることができたと考えています。

ドキュメントとヘルパー API の既存のライブラリの一部として、Microsoft は署名を暗号的に検証するのに役立つ API を提供しましたが、このスコープ検証を自動的に実行するようにこれらのライブラリを更新しませんでした (この問題は修正されました)。メール システムは、2022 年に共通のメタデータ エンドポイントを使用するように更新されました。メール システムの開発者は、ライブラリが完全な検証を実行すると誤って想定し、必要な発行者/スコープの検証を追加していませんでした。したがって、メール システムは、コンシューマ キーで署名されたセキュリティ トークンを使用して企業電子メールのリクエストを受け入れます (この問題は、更新されたライブラリを使用して修正されました)。

政府の電子メール アカウントのハッキング事件が発覚した後、Microsoft は MSA キーの使用をブロックし、そのキーで発行されたトークンの使用もブロックしました。8月、米国政府のサイバー安全審査委員会（CSRB）は、この事件について独自の調査を行うと発表した。これは、クラウド コンピューティング システムや企業全般を狙うハッカーに関する全体的な調査の一環となる。