マイクロソフトは、中国のハッカーがどのようにして政府の電子メールアカウントにアクセスしたのかについて詳細情報を提供

先週、Microsoft は、中国のハッカー集団が米国と欧州の政府の電子メール アカウントにアクセスしたと報告しました。具体的には、ハッカーグループは、Exchange Online と Outlook.com で Microsoft の Outlook Web Access を使用している電子メール アカウントを入力しました。

Microsoft は、フォローアップのブログ投稿で、Storm-0558 として知られるこのグループがどのようにして同社のオンライン システムを使用してこれらのアカウントにアクセスしたのかについて、さらに詳細を提供しました。マイクロソフトは次のように述べています。

Storm-0558 は、非アクティブな MSA コンシューマー署名キーを取得し、それを使用して、Azure AD エンタープライズと MSA コンシューマーが OWA および Outlook.com にアクセスするための認証トークンを偽造しました。事件前にアクティブだったすべての MSA キー (攻撃者が取得した MSA 署名キーを含む) は無効になりました。Azure AD キーは影響を受けませんでした。攻撃者がキーを取得した方法については、現在調査中です。このキーは MSA アカウントのみを対象としていましたが、検証の問題により、このキーは Azure AD トークンに署名するために信頼されることができました。この問題は修正されました。

このブログでは、ハッカー グループがこの署名キーを使用して Web バージョンの Outlook にアクセスした方法についても説明しています。

偽造トークンを利用した正規のクライアント フローを通じて認証されると、脅威アクターは OWA API にアクセスして、OWA が使用する GetAccessTokenForResource API から Exchange Online のトークンを取得します。攻撃者は、設計上の欠陥により、この API から以前に発行されたアクセス トークンを提示することで、新しいアクセス トークンを取得できました。GetAccessTokenForResourceAPI のこの欠陥はその後修正され、Azure AD または MSA から発行されたトークンのみを受け入れるようになりました。攻撃者はこれらのトークンを使用して、OWA API からメール メッセージを取得しました。

この問題を解決する取り組みの一環として、Microsoft は手順にいくつかの変更を加えました。

これには、システムの分離の強化、システム アクティビティの詳細な監視、エンタープライズ システムで使用される強化されたキー ストアへの移行が含まれます。以前にアクティブだったキーをすべて取り消し、これらの更新されたシステムを使用して新しいキーを発行しました。私たちの積極的な調査により、これらの強化と分離の改善により、攻撃者が MSA 署名キーを取得するために使用したと考えられるメカニズムが混乱することがわかりました。

Microsoftは、「このインシデントに関連するすべての攻撃者の活動はブロックされている」と主張しているため、Outlook Web顧客からの対応は必要ないとしている。同社は「引き続きStorm-0558の活動を監視し、顧客のために保護を実装する」と付け加えた。