Skip to main content
MSRC

マイクロソフトは、顧客の電子メールを標的とした中国を拠点とする脅威アクター Storm-0558 を緩和しました。

Japan Security Team
/ By Japan Security Team / / 9 min read

本ブログは、Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email の抄訳版です。最新の情報は原文を参照してください。 



更新: マイクロソフトは、Storm-0558の活動に関する脅威分析を こちらでリリースしました。さらに、カスタムアプリケーションのトークン検証を改善するため、詳細な防御のためのセキュリティ修正をリリースしました。

マイクロソフトは、Storm-0558 としてマイクロソフトが追跡している、中国を拠点とする脅威アクターによる顧客の電子メールを標的とした攻撃を緩和しました。Storm-0558 は、主に西ヨーロッパの政府機関を標的としており、スパイ活動、データ窃盗、クレデンシャルアクセスに焦点を当てています。2023 年 6 月 16 日に顧客から報告された情報に基づき、マイクロソフトは異常なメール活動の調査を開始しました。その後、数週間にわたる調査の結果、Storm-0558 は 2023 年 5 月 15 日から、政府機関を含むパブリッククラウド上の約 25 の組織に影響する電子メールアカウントと、これらの組織に関連するコンシューマーアカウントにアクセスしたことが判明しました。Storm-0558 は、取得したMicrosoftアカウント(MSA)のコンシューマー署名キーを使用して、ユーザーの電子メールにアクセスするために偽造した認証トークンを悪用することで、攻撃を行いました。マイクロソフトは、すべての顧客に対してこの攻撃の緩和策の適用を完了しています。

マイクロソフトのテレメトリーから、Storm-0558 が偽造した認証トークンを使用してお客様の電子メールへのアクセスをブロックしたことを確認しています。そのため、お客様による対処は必要ありません。 観測された国家アクターの活動と同様に、マイクロソフトは標的とされた、または侵害されたすべての組織にテナント管理者を通じて直接連絡し、調査および対応に役立つ重要な情報を提供しました。マイクロソフトは引き続き、これらの組織と緊密に連携していきます。マイクロソフトからの連絡を受け取っていないお客様は、マイクロソフトの調査の結果、本攻撃の影響は受けていません。

マイクロソフトは、DHS CISA 等と協力して影響を受けるお客様を保護し、この問題に対処すると共に、引き続き Storm-0558 の活動を調査し、監視します。 



詳細  

マイクロソフトの調査により、Storm-0558 は Exchange Online の Outlook Web Access ( OWA ) および Outlook.com にて認証トークンを偽造し、ユーザーの電子メールにアクセスすることで、顧客の電子メールアカウントにアクセスしたことが判明しました。  

このアクターは、取得した MSA キーを使用してトークンを偽造し、OWA および Outlook.com にアクセスしました。MSA ( コンシューマー ) キーと Azure AD ( エンタープライズ ) キーは、別々のシステムから発行・管理され、それぞれのシステムでのみ有効であるべきです。このアクターは、トークン検証の問題を悪用して Azure AD ユーザーになりすまし、組織のメールにアクセスしました。このアクターによって Azure AD キーやその他の MSA キーが悪用された形跡はありません。このアクターが取得した MSA キーで偽造されたトークンが悪用されたことを確認したサービスは、OWA と Outlook.com のみです。 マイクロソフトは取得された MSA キーを軽減しました。その上で、テレメトリーから、アクターの活動はブロックされていることを確認しました。 

調査を進める中で、私たちは以下のような対策を講じました: 

  • マイクロソフトは、OWA において MSA キーで署名されたトークンの使用をブロックし、脅威アクターによる企業メールへのさらなる攻撃を防ぎました。 
  • マイクロソフトは、脅威アクターがトークンを偽造するためにキーを悪用することを防ぐため、キーの交換を完了しました。 
  • マイクロソフトは、影響を受けたすべてのコンシューマー顧客のために、このキーで発行されたトークンの使用をブロックしました。  

私たちは、多層防御の一環として、取得した MSA キーが発行されて以来、MSA キー管理システムのセキュリティを継続的に改善し、キーの安全性とセキュリティを確保してきました。  お客様のためにトークン検証のセキュリティを向上させる継続的な取り組みの一環として、Microsoft.IdentityModel、およびMicrosoft.Identity.Webライブラリの詳細な多層防御の変更をリリースしました。取得された署名キーはすでにマイクロソフトによって無効化されているため、お客様に差し迫ったリスクはありません。お客様は、次回のセキュリティ メンテナンスの一環として、この更新プログラムを適用することをお勧めします。

今後も、マイクロソフトは、新たな詳細と推奨事項がある場合は、このガイダンスを更新する予定です。

更新履歴

  • 2023-07-11 - 初期リリース
  • 2023-07-13 - お客様が使用可能な脅威分析のリンクと、更新した検証ライブラリへのリンクを追加しました。
Next Post

How satisfied are you with the MSRC Blog?

Rating

Feedback * (required)

Your detailed feedback helps us improve your experience. Please enter between 10 and 2,000 characters.

Thank you for your feedback!

We'll review your input and work on improving the site.