マイクロソフトの企業メール・ハックが変革を促す
マイクロソフトの企業メールアカウントが最近ハッキングされたことで、マイクロソフトは企業のサイバーセキュリティに対するアプローチを根本的に変える必要に迫られた。
ハック
2024年1月12日、マイクロソフトのサイバーセキュリティチームは、同社の企業システムへの攻撃を検知し、攻撃を緩和してシャットダウンするための対応プロセスを直ちに起動した。マイクロソフトの調査により、攻撃は2023年11月にパスワードスプレー攻撃(数百のアカウントにアクセスするために一般的な弱いパスワードのリストを使用した総当たり攻撃)を使用して、レガシーの非本番テストテナントアカウントを侵害するために開始されたことが判明しました。
そこから脅威者は、レガシーアカウントのアクセス許可を使用して、マイクロソフトの上級幹部や、主にサイバーセキュリティや法務関連の業務に従事する従業員の電子メールアカウントや添付文書にアクセスした。
マイクロソフトは、この脅威行為者をロシア政府が後援する組織、Midnight Blizzard(別名Nobelium)と特定した。Nobeliumは2020年12月、連邦政府の請負業者であるSolarWinds®ソフトウェアを使って、少なくとも9つの米政府機関に侵入し、米政府がNobeliumの侵入にどのように対応しているかを追跡するために、各機関の機密扱いでない電子メールシステムにアクセスした。
SolarWinds社の攻撃と同様に、マイクロソフト社の企業システム攻撃に関するマイクロソフト社の調査で、脅威行為者はミッドナイト・ブリザード社そのものに関連する情報を求めていたことが判明した。
マイクロソフトは、1月19日のマイクロソフト・セキュリティ・レスポンス・センターの投稿でこの攻撃に関する最初の詳細を共有し、1月25日のマイクロソフト・スレット・インテリジェンスからの投稿で対応ガイダンスを共有した。この対応ガイダンスの投稿では、Midnight Blizzardがマイクロソフト以外にも世界的なテクノロジー企業を標的にしていることが明らかになった。この観測は、ヒューレット・パッカード・エンタープライズ(HPE)がSECに提出した書類で、ミッドナイト・ブリザードが2023年5月にHPEのクラウドホスト型電子メール環境に侵入したことを明らかにしていることからも裏付けられている。
ハッキングはなぜ起きたのか?
前述のように、マイクロソフトの電子メールハックは、パスワードスプレー攻撃を使用して、レガシーの非本番テスト用テナントアカウントを侵害した。このアカウントは、2つの基本的なサイバーセキュリティ・ルールを破っていた。第一に、このアカウントには推測しやすいパスワードが設定されていた。第二に、このアカウントでは多要素認証(MFA)が有効になっていなかった。
マイクロソフトは1月25日の投稿で、もしそのレガシーアカウントが今日導入されていたら、標準的なマイクロソフトのポリシーとワークフローによってMFAが確実に実施されていただろうと認めた。
Midnight Blizzardは、漏洩したレガシーEメールのテストアカウントを経由してアクセス権を得ると、Microsoftの企業環境への昇格アクセスを持つレガシーテストOAuthアプリケーションを特定し、漏洩させました。(注:OAuthとは、あるアプリケーションやウェブサイトが別のアプリケーションやウェブサイトからデータにアクセスできるようにするオープンスタンダードの認可プロトコルです。例えば、クラウドに保存されたファイルを電子メールで別のユーザーに送信したり、ESPN.comのようなウェブサイトがFacebookのパスワードを提供せずにFacebookのプロフィールにアクセスしたりすることができます)。
その後、Midnight Blizzardはさらに悪意のあるOAuthアプリケーションと新しいユーザーアカウントを作成し、悪意のあるOAuthアプリケーションがMicrosoftの企業環境にアクセスできるようにしました。最後に、Midnight Blizzardは侵害されたレガシーテストOAuthアプリケーションを使用して、従業員のメールボックスへのアクセスを許可するOffice 365 Exchange Onlineロールを付与しました。
ミッドナイト・ブリザードは、レガシーなEメールテストアカウントとレガシーなテストOAuthアプリケーションの存在を利用した。
マイクロソフトはセキュリティ体制で何を変えようとしているのか?
2023年11月、マイクロソフトはSecure Future Initiative(SFI)を発表した。SFIは、マイクロソフトのあらゆる部門を結集し、サイバーセキュリティ保護の大幅な改善を推進するものである。このイニシアチブでは、セキュリティとビジネスリスクのバランスを取ることに努めた。ビジネスリスクの観点からは、マイクロソフトの50年近い歴史の中で作成された(そして忘れ去られた)すべてのレガシーアカウントやアプリケーションを特定し、セキュアにするための監査を実施し、新しいアカウントやアプリケーションの確立とセキュアに関連する無数のビジネスプロセスを変更することは、完了するためにかなりの人員と時間を必要とする作業である。
残念ながら、ミッドナイト・ブリザードは、レガシーアカウントやOAuthアプリケーションを悪用して企業システムに侵入し、企業情報や顧客情報にアクセスすることを得意としています。この専門知識を認識しているマイクロソフトは、1月19日のマイクロソフト・セキュリティ・レスポンス・センターの投稿で概説されているように、レガシー・アカウントとアプリケーションを早急に保護する必要性を認識している:
「マイクロソフトが所有するレガシーシステムと社内ビジネスプロセスに、現行のセキュリティ基準を適用するため、たとえ既存のビジネスプロセスに支障をきたすような変更であっても、直ちに行動します。この新しい現実に適応する間、ある程度の混乱は生じるでしょうが、これは必要なステップであり、この哲学を受け入れるために私たちがとるいくつかのステップのうちの最初のステップにすぎません。"
顧客とアプリケーションを守るために何ができるか?
マイクロソフトのように、レガシーアカウントとOAuthアプリケーションを監査し、その後、使用されなくなったものを排除し、最新のサイバーセキュリティ標準を使用してまだ使用されているものを保護するための措置を講じることは、必要な第一歩である。マイクロソフトは、前述の1月25日の投稿で他の推奨事項を共有している。
Windowsアプリケーションへの安全なウェブベース・アクセスを顧客に提供する必要のあるISV、MSP、再販業者は、これらのアプリケーションをユーザーにアクセス可能にするために使用される技術を評価することができる:
- 使用しているネットワーク通信プロトコルは安全ですか?(注:マイクロソフトのリモート・デスクトップ・プロトコル(RDP)を使用している場合、世界的なITセキュリティ企業であるSophosによると、RDPは依然として「最も広く悪用されているツールの1つ」であり、内部アクセスのために漏洩した認証情報を活用するために使用されています。)
- デフォルト設定-管理者や悪質な行為者がサーバーやクライアントのリソースを共有できるようにできるか?
- 多要素認証-あなたのリモート・アクセス・ソリューションは多要素認証をサポートしていますか?上記のマイクロソフトのハッキングは、レガシーなテスト用電子メール・アプリケーションにMFAがなかったことが一因でした。
- シングルサインオン-お使いのリモートアクセス・ソリューションは、シングルサインオン・ソリューションをサポートしていますか?上記のマイクロソフトのハッキングは、推測しやすいパスワードによって可能になった部分もある。
お客様のウェブベースのアクセスソリューションが、お客様のアプリケーションと顧客データを悪意のある者に脆弱にしている場合は、GO-Globalをご検討ください。
- RapidX Protocol (RXP)-RXPは、シリアル回線で接続するための独自の低帯域幅プロトコルです。RXPは適応性があり、複数の圧縮レイヤーを使用し、可能な限り帯域幅を使用しないように最適化されています。また、RXPはクローズドソースであるため、セキュリティ上の弱点が発見され悪用されているMicrosoft RDPのようなオープンソースのプロトコルに比べ、攻撃者に対する防御が強化されています。
- デフォルト設定-設計上、サーバーまたはクライアントリソースの共有を可能にするすべての設定オプションは無効になっています。さらに、GO-Globalはデフォルトのアプリケーションを発行しません。
- 二要素認証(2FA)-GO-Globalは、ユーザー名とパスワードに加えて、スマートフォンの認証アプリから6桁のコードを入力するようユーザーに要求するオプションにより、セキュリティの追加レイヤーを提供する高度な認証機能である2FAを提供します。
- OpenID® Connect(OIDC)のシングルサインオンのサポート- 組織はGO-Global WindowsホストへのシングルサインオンのためにOkta®やMicrosoft® Active Directory Federated Services (ADFS)のようなOIDC IDプロバイダーを使用することができます。
Windowsアプリケーションと顧客データを保護するためのGO-Globalのマルチレイヤーアプローチは、悪質業者からのリスクを軽減します。詳細はこちら.
GO-GlobalのSSO付き同時ユーザー価格をご覧になり、お客様の推定GO-Global価格を計算するには、 ここをクリックしてください。
デモのご依頼は こちらをクリックしてください。GO-Globalの30日間無料トライアルは こちらをクリックしてください。
