記事本文(要約)
2025年3月以降、ロシア系とされる複数の脅威アクターが、Microsoft 365アカウントへの不正アクセスを目的に、対ウクライナ関連や人権活動に関わる個人や組織を「積極的に」標的にしています。Volexityによると、これらの攻撃は、以前のデバイスコードフィッシングとは異なり、個別のやり取りを通じてターゲットを騙す社会工学的手法にシフトしています。
特に、UTA0352とUTA0355と追跡される脅威グループが関与しており、APT29などとの関連性も検討されています。これらの攻撃は、MicrosoftのOAuth 2.0認証ワークフローを悪用し、例えばヨーロッパの官僚になりすまし、被害者をリンクに誘導して認証コードを取得することを狙っています。
UTA0352は、Microsoft 365インフラを利用したフィッシングにより、被害者をVisual Studio Codeのインブラウザ版に誘導し、OAuthコードを共有させることでアカウントにアクセスする手法を用いています。
また、UTA0355は、ウクライナ政府のメールアカウントを利用してスピアフィッシングを行い、OAuthコードで新デバイスをMicrosoft Entra IDに登録、二要素認証をバイパスするための二段階の攻撃を組織しました。
これらの攻撃の検出・緩和策として、新登録デバイスの監査、メッセージングアプリでの未承諾コンタクトに関するリスク教育、および条件付きアクセスポリシーの実装が推奨されています。攻撃者のインフラを用いず、Microsoftの公式インフラを悪用することで、検知と防御が難しくなっています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 23 Apr 2025 16:19:00 +0530
Original URL: https://thehackernews.com/2025/04/russian-hackers-exploit-microsoft-oauth.html
CVE番号
この記事には特定のCVE番号は記載されていません。しかし、内容から判断すると、新しい技術的手法に基づくフィッシングキャンペーンやOAuth 2.0を悪用した攻撃であり、特定のCVEに直結する脆弱性ではなく、既存の認証システムの悪用と社会工学的手法を組み合わせた攻撃が主体です。
脆弱性の仕組み
この攻撃は、MicrosoftのOAuth 2.0認証フローを悪用し、ユーザーを騙して認証コードを取得することにより、本来は安全であるはずのMicrosoft 365アカウントに不正アクセスすることを目的としています。攻撃者は、公式なMicrosoftの認証ポータルを利用しているため、ユーザーには正当な動作に見えます。
攻撃手法
- 社会工学的手法: 攻撃者は、標的ユーザーにメッセージングアプリ(SignalやWhatsApp)を通じて接触し、偽のビデオ会議やイベントに参加するように誘導します。
- 偽装と誘導: 攻撃者は、信頼できる公式なヨーロッパの政治関係者になりすまし、被害者に対しMicrosoftから生成された認証コードを提供するように説得します。
- OAuth 2.0の悪用: 被害者が提供するMicrosoft Authorization Codeを使用し、攻撃者がアクセスコードを生成し、さらには被害者のMicrosoft 365アカウントにアクセスを得る。
- 二段階認証の誘導: 二段階認証を迂回するために追加のソーシャルエンジニアリングが行われ、ユーザーが2FAリクエストを承認するように仕向けます。
潜在的な影響
- 不正アクセス: 攻撃者は被害者のMicrosoft 365アカウントに完全なアクセス権を持つことが可能となり、メールデータやその他の機密情報を盗むことができます。
- データ漏洩やスパイ行為: 特にウクライナや人権に関連するデータが標的となっているため、これらの情報が悪用される可能性があります。
- アカウントの持続的な侵害: 攻撃者が新しいデバイスをEntra IDに登録し、持続的に被害者のアカウントにアクセスできる状態を維持します。
推奨される対策
- ユーザー教育: メッセージングプラットフォーム経由での不審な連絡に対する警戒心を高めるための教育を行います。
- デバイスの監査: 新たに登録されたデバイスを定期的に監査し、不正アクセスの兆候を検知します。
- 条件付アクセスポリシーの実施: 承認された、または管理されたデバイスにのみアクセスを制限するポリシーを実装します。
- 2FAの強化: 二要素認証のセキュリティを強化し、不審なリクエストに対するユーザーの警戒心を高めます。
- プロキシ活動の検出: プロキシを通じた不正アクセスを検出するための地理的分析を行います。
