piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Storm-0558による複数の問題を悪用したMicrosoft クラウドサービスへの不正アクセスについてまとめてみた

2023年7月11日、Microsoftは中国を拠点に活動をしている脅威アクターより政府機関を含む複数の組織の電子メールアカウントなどに対し不正アクセスが行われていたと公表しました。ここでは関連する情報をまとめます。

利用組織から不審なログ報告受け発覚

  • Microsoftが今回明らかにしたのは同社のクラウドサービスであるExchange Online(OWA)およびOutlook.comへの不正アクセス事案。同社のサービスを利用する政府機関を含む約25の組織の電子メールデータおよびこれら組織関連とみられる少数の個人アカウントへ第三者がアクセスを行っていた。米国では10のアカウントが不正アクセスの被害に遭ったとされ、米国国務省、米国商務省の長官、駐中国大使、国務省次官補(東アジア担当)らが含まれており、9つのアカウントは東アジア、太平洋地域を担当する職員のものであり、約6万通のメールが流出したことが報じられている。Microsoftによれば、影響が確認されたすべての組織に対して連絡は済んでいる。 *1 *2 *3 *4
  • 不正アクセス発覚の経緯はMicrosoftが2023年6月16日にFCEB機関(Microsoftは利用組織名を開示していないが報告したのは米国国務省と報道)からの報告を受け数週間の調査を通じて把握したもので、2023年5月15日より約1か月にわたり活動が続いてた。
  • 報告を行ったFCEB機関はM365の監査ログより予期しないClientAppIDAppIDによるイベントMailItemsAccessedを確認していた。MailItemsAccessedは、ライセンス認証された利用者によってExchange Onlineのメールボックスにアクセスした際に生成されるイベントで、どのようなクライアントかつ接続方法であっても記録されるもので、Microsoftも侵害を受けたかを調査する際に使用するイベントとして説明している。(但しこの監査を有効とするにはMicrosoft 365のG5/E5 ライセンスが必要。) 今回当該機関では、記録されたAppIDが通常の環境でアクセスし得るものでなかったことから不審な挙動と判断をしていた。
  • Microsoftは不正アクセスの被害影響についていずれの利用者においても攻撃への対応が完了したと説明しており、その後も既知のインディケーター情報に基づき自動検出を強化したものの、追加の被害は確認されていないとした。
  • 米国CISAでは、今回の不正アクセスの発生を受けてクラウドで提供されるOutlookにかかるサイバーセキュリティ勧告を発出している。
    Enhanced Monitoring to Detect APT Activity Targeting Outlook Online

中国拠点のアクター関与と分析

  • 今回の不正アクセスを行った実行者について、Microsoftは中国に拠点を置き活動をする脅威アクター Storm-0558 によるものである可能性を中程度の信頼度で帰属分析を行った。APT31など既知の脅威アクターとわずかながらの重複が認められるとしつつもMicrosoftでは独自のグループとして高い確度で断定を行っている。今回中国を活動拠点としていることが言及されているも、アクター名には中国が関与した際に割当てられる「Typhoon」ではなく新興のアクターなどに付与される「Storm」がつけられている。*5
  • Storm-0558はこれまでも欧米の外交、経済、行政に関係する機関や台湾、新疆ウイグル自治区の地政学的な利害関係にある人物を標的に活動を行っており、またMicrosoftが観測をしている2023年4月から7月までの活動時間においては中国の労働時間(月曜日から金曜日まで、UTC 0時~UTC 9時)との一致を見せた。
  • Storm-0558が過去に行っていた活動としては今回同様に標的の組織所属のメールアカウントへ不正アクセスしデータを取得するもので、認証情報の収集、フィッシングやOAuthトークンを狙った攻撃を通じて行われており、加えて標的組織のロギングポリシーや認証要件、ポリシー、手順を細かく把握をしているとMicrosoftは分析している。

複数の問題悪用し不正アクセス

  • 今回行われた不正アクセスの手口について、まずMicrosoft アカウント(MSA)署名鍵を使用してStorm-0558は標的のサービス(OWA、Outlook.com)で使用される認証トークンを生成していた。さらに認証サーバー側のトークン検証に問題があったことでAzureAD(法人向け)アカウントのトークンにもこの鍵を使って署名することが可能で、Storm-0558はAzure ADのアカウントになりすまし、認証を行っていた。
  • さらにOWAのGetAccessTokenForResource APIに設計上の欠陥があり、Exchange Onlineで使用するトークンを取得する際、過去に発行済みであったトークンを示すことで再度新しいアクセストークンを取得することが可能となっていた。Storm-0558はこのアクセストークンを使用してメールデータなどに接続しており、その後確認されたPowershell および PythonのツールからはOWAのREST APIを通じて次の情報取得が可能となっていることが判明した。
    • メールのダウンロード
    • 添付ファイルのダウンロード
    • 会話の検索とダウンロード
    • メールフォルダ情報の取得
  • Microsoftは攻撃者が取得したMSA署名鍵によって署名された偽造トークンを継続して使用されないよう、これを停止する対応を行い、その後MSA署名鍵自体の置き換えも完了。最終的には影響対象のすべての利用者に対して、有効であったMSA署名鍵によって発行された全トークンの使用を停止させた。また不具合が確認された認証トークンの検証やOWA APIについては修正も行われた。
  • 不正アクセスの発端となった偽造トークン発行に使用されたMSA署名鍵はMicrosoftによって秘匿されるべき情報であり、どのような経緯で攻撃者がそれを所持していたのかについて7月14日時点で調査中としており、取材を受けるも「これ以上はコメントできない」と回答していたが、その後に公開した事後調査で流出の経緯とみられる顛末を明らかにした。(後述)*6 専門家らは今回の不正アクセス以前に攻撃者によってMicrosoftが何らかの影響を受けた可能性も考えられると指摘している。なお、対応にあたったMicrosoftのアナリストは当初、使用されたAzure ADトークンは報告を行った顧客環境がマルウエアに感染しそこから盗まれたものと想定を行っていた。
Storm-0558による不正アクセスの流れ

プレミアムのログ確認機能を解放

  • 今回の不正アクセスを受け、米国CISAとMicrosoftはパートナーシップ協定に基づき、Microsoft Purview Audit (Premium)サブスクリプションで利用可能であったログ機能について、Microsoft Purview Audit (Standard) の利用者であっても使用可能とする方針を表明。
  • 拡張される機能はMicrosoft Purview Audit (Premium)サブスクリプションのユーザーのみ確認できた30種類超のログ及び関連するセキュリティデータの確認ができるようになる。またログの保持期間が90日間から180日間に延長される。また拡張適用は2023年9月より全世界のユーザーに対して順次適用が行われる。
    CISA and Microsoft Partnership Expands Access to Logging Capabilities Broadly

署名鍵流出とAPI不具合の詳細を報告

  • Storm-0558が攻撃に使用した署名鍵をどのようにして入手したのか、また何故APIに不具合があったのか、2点を調査した結果をまとめた報告をMicrosoftが9月6日に公開。
  • 複数の問題が重なって生じた結果であったため、報告資料中でMicrosoftは「当該問題を修正した」というフレーズを5回使用している。
複数の問題重なりMSA署名鍵が漏洩か
  • MSA署名鍵は隔離されたネットワーク上でのみ使用されていたが、2021年4月に署名システムがクラッシュしその際生成されたクラッシュダンプに本来は含まれないはずの鍵情報が競合問題によって含まれてしまった。
  • クラッシュダンプはその後インターネットに接続されている企業ネットワーク上で稼働するデバッグ環境に取り込まれることになるが、その際に鍵情報が含まれていることをシステム側で検出することができず、鍵情報がないデバッグ情報として取り扱われることとなった。また標準のデバッグプロセスにおいても資格情報のスキャンが行われていたがそこでも取り込まれた鍵情報を検出することはできなかった。
  • 複数の問題が重なり署名鍵が取り込まれたクラッシュダンプがデバッグ環境に存在することとなったが、当該環境に対してアクセス権を保有していたMSのエンジニアが使用する業務用アカウントがStorm-0558によって侵害されていたことが判明。ログポリシーの関係より、侵害されたアカウントから流出した確たる痕跡は確認されていないものの鍵情報をStorm-0558が取得した方法として最も確からしいと想定される手口とMicrosoftは説明している。
Storm-0558による署名鍵取得方法とみられる手口概要
ライブラリを更新せずスコープ検証漏れ
  • 顧客システムで暗号による署名認証を行うよう提供されたAPIで今回不具合が確認されたが、このAPIは2018年9月にコンシューマー向けとエンタープライズ向けの両方で動作するアプリケーションサポートの需要の顧客からの高まりに応じて導入されたライブラリの一部だった。
  • Microsoftはコンシューマ向け、エンタープライズ向けそれぞれのアカウントにおいて鍵のスコープ検証の要件を明確にするも、この検証の自動化する更新をライブラリに対して行っていなかった。
  • メールシステムでは、この検証をライブラリが行っているものと誤認していたことから、システム側に鍵の発行者やスコープの検証を実装していなかった。そのためコンシューマー向けの署名鍵で署名された認証トークンを使用して法人向けのメールアカウントに対する要求を受け入れる動きとなってしまった。

更新履歴

  • 2023年7月17日 AM 新規作成
  • 2023年7月20日 PM 続報反映(MSのログ機能拡張)
  • 2023年7月21日 PM 続報反映(米高官の被害追記)
  • 2023年9月8日 PM 続報反映(MSの事後調査追記)