Microsoftが警告:多地域でのStorm-2372攻撃

当ページはアフィリエイト広告を利用しています

記事内に広告が含まれています。
Microsoftが警告:多地域でのStorm-2372攻撃
提供:photoAC「Rossi0917様」

Microsoftは、Storm-2372と名付けられた新たな脅威グループに注目を呼びかけています。このグループは、2024年8月以降、さまざまなセクターに対してサイバー攻撃を仕掛けてきました。

攻撃のターゲット

攻撃の対象は、政府機関、非政府組織(NGO)、情報技術(IT)サービス、技術、防衛、通信、医療、高等教育、エネルギー(石油・ガス)など、多岐にわたります。これらの攻撃は、ヨーロッパ、北アメリカ、アフリカ、中東の各地域で確認されています。

攻撃手法

Storm-2372は、WhatsApp、Signal、Microsoft Teamsなどのメッセージングアプリを通じて、偽の人物を装い、ターゲットに信頼させる手法を使用しています。

特に、「デバイスコードフィッシング」というフィッシング技術を用いて、ユーザーをだましてアプリにログインさせ、その際に認証情報(トークン)を取得します。これにより、ハッカーはターゲットのアカウントにアクセスし、データを入手し、トークンが有効な限り持続的なアクセスを確保します。

攻撃の詳細

  • 攻撃者は、Microsoft Teamsの会議招待を装ったフィッシングメールを送信し、受信者にデバイスコードを使用して認証するよう促します。これにより、ハッカーは認証されたセッションをハイジャックし、アクセス・リフレッシュトークンを取得します。
  • これらのトークンを利用して、ターゲットのアカウントやデータにアクセスし、さらには他のサービスにもアクセスできます。

3つの対策

Microsoftは、この種の攻撃を軽減するために、デバイスコードフローのブロック、フィッシング耐性の多要素認証(MFA)の有効化、最小特権の原則に従うことを推奨しています。

1、デバイスコードフローのブロック

デバイスコードフローとは、特にデバイスやアプリケーションがユーザーに代わって認証を行う際に使用される方法です。このフローを悪用することで、攻撃者はユーザーを騙してデバイスコードを入力させ、認証情報を盗むことができますので、管理者は環境内でデバイスコードフローの無効化を検討した方が良いでしょう。

2、フィッシング耐性の多要素認証(MFA)の有効化

多要素認証(MFA)は、ユーザーがアカウントにアクセスする際に、2つ以上の異なる認証要素を要求するセキュリティ対策です。これにより、不正アクセスを防止します。フィッシング耐性のMFAは、特にフィッシング攻撃に強い認証方法を使用します。

対策

  • MFAの有効化:すべてのユーザーに対して多要素認証を有効にします。これにより、パスワードが盗まれた場合でも、不正アクセスを防ぐことができます。
  • フィッシング耐性の方法:例えば、ハードウェアセキュリティキーや、FIDO2認証などのフィッシング耐性が高い認証方法を導入します。

3、最小特権の原則に従う

最小特権の原則とは、ユーザーやアプリケーションに必要最低限の権限のみを付与するセキュリティの基本原則です。これにより、不正アクセスや内部の誤用を防止します。

対策

  • 権限の見直し:ユーザーやアプリケーションに付与されている権限を定期的に見直し、不要な権限を削除します。
  • ロールベースアクセス制御:役割に基づいたアクセス制御を導入し、各ユーザーが必要な範囲でのみアクセスできるようにします。
  • アクセスログの監視:システムへのアクセスログを定期的に監視し、不審なアクセスがないか確認します。

最新の動向

2025年2月14日に共有された更新情報によれば、Storm-2372はMicrosoft Authentication BrokerのクライアントIDを使用するように戦術を変更しました。これにより、攻撃者はリフレッシュトークンを取得し、デバイス登録サービスへのトークンを要求し、Entra IDに攻撃者が制御するデバイスを登録できるようになります。

ロシアの脅威グループ

サイバーセキュリティ企業のVolexityによると、少なくとも3つの異なるロシアの脅威グループが、デバイスコードアプローチを使用してMicrosoft 365アカウントを侵害するスピアフィッシングキャンペーンを実行しています。

  • 一部のメールは、米国国務省、ウクライナ国防省、欧州連合議会などの個人を装って送信されています。
  • APT29(BlueBravo、Cloaked Ursa、CozyLarch、Cozy Bear、Midnight Blizzard(旧Nobelium)、The Dukesとしても知られる)を含む複数のグループが活動しているとされています。
  • 攻撃者は、被害者をSecure chatアプリ「Element」などのチャットアプリに誘導し、リンクをクリックさせてMicrosoftのページにアクセスさせ、デバイスコードを入力させる手法を取っています。

まとめ

Microsoftは、Storm-2372という新たな脅威グループが、デバイスコードフィッシングを用いて多地域で攻撃を行っていると警告しています。特に、政府機関やNGO、ITサービス、防衛、通信などの幅広いセクターがターゲットとなっており、フィッシング耐性の多要素認証や最小特権の原則を用いた対策が推奨されています。2025年2月14日の更新情報では、Storm-2372がMicrosoft Authentication BrokerのクライアントIDを使用し、Entra IDに攻撃者が制御するデバイスを登録できるようになったと報告されています。

出典

The Hacker News『Microsoft: Russian-Linked Hackers Using ‘Device Code Phishing’ to Hijack Accounts