本ブログは、Results of Major Technical Investigations for Storm-0558 Key Acquisition の抄訳版です。最新の情報は原文を参照してください。
** 2024 年 3 月 12 日 (米国時間) 更新 **
マイクロソフトの Secure Future Initiative で説明している透明性と信頼性に対する継続的な取り組みの一環として、進行中の調査に関する詳細な情報を提供します。この新しい情報は、以前に公開したお客様向けガイダンスを変更するものではありません。また、進行中の調査によってマイクロソフトまたはお客様への追加の影響を確認したものでもありません。お客様の追加のアクションは必要ありません。
2023 年 7 月 11 日 (米国時間)、マイクロソフトは、中国で活動する脅威アクター グループ Storm-0558 による活動に関する暫定的な調査結果を公開しました。2023 年 9 月 6 日(米国時間)、主要な技術調査が完了したことを発表しました。
しかし、私たちは、お客様が同様の攻撃から確実に保護できるよう、脅威アクターの戦術と手法の調査を続けました。本日、最新の知見に基づいて内容を明確にし、正確性を保証するために、ブログを追記します。
まず、以下の点は従来どおりです。
私たちの有力な仮説は、運用エラーにより、セキュアなトークン署名環境からキーマテリアルが流出し、その後、侵害されたエンジニアリングアカウントを介してデバッグ環境にアクセスされたというものです。
お客様およびマイクロソフトへの影響またはアクターのアクティビティに変更はありません。最新の情報は、マイクロソフトセキュリティブログで引き続き確認できます。
2023 年 9 月 6 日(米国時間)以降に判明した内容に基づいて、更新している主な項目は次のとおりです。
以下のブログでは、アクターのアクセスは 2021 年のクラッシュダンプに起因する可能性があると述べていますが、影響を受けたキーマテリアルを含むクラッシュダンプは見つかりませんでした。
以下のブログで言及されている競合状態は、キーがクラッシュ ダンプに存在するかどうかではなく、クラッシュ ダンプをセキュリティで保護されたトークン署名環境から削除できるかどうかに影響しました。
クラッシュ ダンプのマテリアルをセキュアな署名環境から移動することは、標準のデバッグ プロセスと一致していることを示しました。これは、過去では禁止していなかったため、発生する可能性があることを示していました。現在、マイクロソフトの標準的なデバッグ プロセスでは、運用環境からこのようなマテリアルを削除することを禁止しています。
現在進行中の調査により、クレデンシャルスキャン技術の限界が明らかになりましたが、継続して対処していきます。
調査は進行中であり、お客様や業界に影響する場合は、同様の攻撃から皆様を保護するために、引き続き最新情報を提供していきます。
2023 年 7 月 11 日、マイクロソフトは、中国を拠点とする脅威アクター Storm-0558 が、OWA および Outlook.com にアクセスするためのトークンを偽造するために、取得した Microsoft アカウント (MSA) のコンシューマー キーをどのように使用したかについてのブログを公開しました。脅威アクターがコンシューマー キーを取得したことを確認した時点で、マイクロソフトは企業メールへのアクセスにどのように使用されたかを含め、Microsoft アカウントのコンシューマーの署名キーの取得に関する包括的な技術調査を実施しました。マイクロソフトによる技術調査は完了しました。透明性と信頼への責任への一環として、調査結果を公開いたします。
キーの取得
マイクロソフトは、高度に隔離され、制限された運用環境を維持しています。マイクロソフトの従業員が運用環境のインフラにアクセスするためのコントロールには、バックグラウンド チェック、専用アカウント、セキュア アクセス ワークステーション、ハードウェア トークンデバイスを使用した多要素認証などがあります。また、運用環境のコントロールでは、マルウェアの感染やフィッシングなどの一般的なアカウント侵害の経路となり得るメール、会議、Web での検索、その他のコラボレーション ツールの使用を防止するほか、Just in Time および Just Enough のアクセスポリシーを使用してシステムやデータへのアクセスを制限しています。
マイクロソフトの社内環境では、メール、会議、Web での検索、その他のコラボレーションツールを使用するために、セキュアな認証とデバイスが必要です。これらのツールは重要ですが、スピア フィッシング、トークン窃取マルウェア、その他のアカウント侵害に対しての弱点となります。そのため、ポリシーとして、また、マイクロソフトのZero Trust および assume breach (侵害があることを想定すること) の考え方の一環として、キーマテリアルは、運用環境から離れてはいけません。
我々の調査によると、2021 年 4 月にコンシューマーの署名システムがクラッシュし、クラッシュしたプロセスのスナップショット (クラッシュダンプ) が作成されました。本来、クラッシュ ダンプは機密情報を削除されており、署名キーを含めるべきではありません。しかし、今回のケースでは、競合状態の発生が要因となり、キーがクラッシュ ダンプに含まれていました。 (この問題は既に修正済みです。) マイクロソフトのシステムは、クラッシュ ダンプ内にキーが存在することを検出することができませんでした。 (この問題は既に修正済みです。)
クラッシュ ダンプを発見した時点では、キー マテリアルが含まれていないと考えられており、クラッシュダンプは、隔離された運用用のネットワークから、インターネットに接続された社内ネットワーク上のデバッグ環境に移動されたことがわかりました。これは我々が行う通常のデバッグプロセスと一致しています。我々のクレデンシャル スキャンでは、キーマテリアルを検出することはできませんでした。 (この問題は既に修正済みです。)
クラッシュダンプに含まれたキーが社内ネットワークに流出した2021 年 4 月以降、Storm-0558 のアクターはマイクロソフトのエンジニアの社内アカウントの侵害に成功しました。このアカウントは、誤ってキーが含まれていたクラッシュ ダンプを含むデバッグ環境にアクセスすることができました。ログの保存ポリシーのため、このアクターによる流出の具体的な証拠を示すログはありませんが、アクターがキーを取得したと考えられるメカニズムの中で、最も可能性が高い方法です。
コンシューマーのキーで企業メールにアクセスが可能となった理由
コンシューマー アプリケーションとエンタープライズ アプリケーションの両方で動作するアプリケーションをサポートしたいという顧客からの要望に応えるため、マイクロソフトは 2018 年 9 月に共通のキー メタデータ パブリッシング エンドポイントを導入しました。統合された提供の一環として、マイクロソフトはドキュメントを更新し、企業アカウントに使用するキーとコンシューマー アカウントに使用するキーのスコープ検証の要件を明確にしました。
ドキュメントとヘルパー API の既存ライブラリの一部として、マイクロソフトは署名の暗号的検証に役立つ APIを提供しましたが、スコープ検証を自動的に実行するようにライブラリを更新していませんでした。(すでに、この問題は修正済みです。) メールシステムは 2022 年から共通のメタデータエンドポイントを使用しています。メール システムの開発者は、ライブラリが完全な検証を実行すると誤認識し、必要な発行者およびスコープの検証を実装していませんでした。そのため、メール システムは、コンシューマー キーで署名されたセキュリティ トークンを使用して企業メールへのアクセスを受け付けていました。 (この問題は、更新されたライブラリを使用して既に修正済みです。)
インシデント発生後の調査
マイクロソフトは、多層防御戦略の一環として、システムを継続的に強化しています。マイクロソフト アカウントのキー管理に関連して行われた対応については、https://aka.ms/storm-0558 のブログで取り上げています。このブログに記載している項目は、全体的な対応の一部です。
今回の知見に関連した改善点を要約します:
-
クラッシュ ダンプに署名キーを含めてしまう競合状態を特定し、解決しました。
-
クラッシュ ダンプに誤ってキー マテリアルが含まれることを、防止、検出、および対応する策を強化しました。
-
クレデンシャル スキャンを強化し、デバッグ環境にて署名キーを適切に検出できるようにしました。
-
認証ライブラリのキー スコープの検証を自動化するために改善されたライブラリをリリースし、関連するドキュメントを明確にしました。