Storm-0558によるOutlookのハッキングで利用されたMSA署名鍵、Windowsのクラッシュダンプから盗まれていた
マイクロソフトは今年7月、中国を拠点とする脅威アクター「Storm-0558」がマイクロソフトアカウント(MSA)の署名鍵を使って認証トークンを偽造し、複数組織のOWA(Outlook Web Access in Exchange Online)およびOutlook.comを使用するメールアカウントに不正アクセスしていたことを公表した。その時点ではなぜ署名鍵が同アクターの手に渡ったのかは判明していなかったが、9月6日、マイクロソフトは新たにブログ記事を公開し、署名鍵の流出元がクラッシュダンプであったことが調査により明らかになったと報告した。競合状態が原因で署名鍵がWindowsのクラッシュダンプに含まれてしまっており、マイクロソフトのエンジニアのコーポレートアカウントを侵害したStorm-0558は、このクラッシュダンプから署名鍵を盗み出すことができたのだという。
2021年4月のシステムクラッシュ後、MSA署名鍵がクラッシュダンプへ流出
マイクロソフトによれば、2021年4月にコンシューマー向け署名システムがクラッシュし、その際に作成されたクラッシュダンプへMSA署名鍵が入り込んでしまったという。本来こうしたセンシティブな情報を含むべきではないクラッシュダンプへの鍵流出は、「競合状態」の問題により生じたとされている。その後、鍵の存在が検出されないまま、クラッシュダンプは「隔離されたプロダクションネットワークから、インターネットに接続されたコーポレートネットワーク上のデバッグ環境に移された」と同社は述べている。
(なお、鍵の流出の原因となったさまざまな問題はすでに修正済みとされている)
デバッグ環境へのアクセス権を持つエンジニアアカウントをStorm-0558が侵害
クラッシュダンプの移動後、Storm-0558はマイクロソフト社のエンジニアのコーポレートアカウントを侵害することに成功。このアカウントは上記デバッグ環境へのアクセス権を有していたことから、Storm-0558はこれを利用してクラッシュダンプから署名鍵を盗み出すことができたと思われる。
署名鍵を手にしたStorm-0558は米政府機関含む二十数組織のメールアカウントへアクセス
MSA署名鍵を手に入れたStorm-0558は、これを使って認証用のトークンを偽造することによりOWAおよびOutlook.comを使用するメールアカウントへアクセス。この不正アクセスは5月15日から行われていたとされ、標的にはレモンド米国商務長官やバーンズ米駐中国大使が含まれていたと報じられている。なお、盗まれた署名鍵はすでにマイクロソフトにより失効済みであり、侵害されたその他の鍵への脅威アクターによるアクセスを防ぐための措置なども講じられた。その後、同様の認証トークン偽造技術を使用した顧客アカウントへの不正アクセスの形跡は見つかっていないとのこと。
(情報源:The Record “Microsoft details a chain of mishaps leading to Outlook hack on government officials”、BleepingComputer “Hackers stole Microsoft signing key from Windows crash dump”、Microsoft “Results of Major Technical Investigations for Storm-0558 Key Acquisition”)
9月7日:その他の注目ニュース
英国、技術が非現実的なこと理由にオンライン安全法案の「スパイ条項」を取り下げ
英国の議員たちが、オンライン安全法案における、エンドツーエンド暗号化を使用して送信された個人的なメッセージに規制当局がアクセスできるようにする条項を取り下げた。昨年9月にオンライン安全法案に追加されたこの条項(第122条)は、6日に貴族院で可決のための最終段階に入る予定だった。しかし大手テック企業やプライバシー擁護団体から、プライバシーの権利を守りながらこれを行うことは技術的に実現不可能なものだとして数か月に及ぶ反発を受けたのち、「スパイ条項」とも呼ばれる同条項は取り上げられた。
オンライン安全法案の大前提は、SNSプラットフォームの技術所有者に対し、テロや暴力煽動などのすべての違法コンテンツを削除し、ポルノや自殺行為などに関するものから子供たちを守ることを義務付けるというもの。これを怠った場合、これらの大手テック企業は最大1,800万ポンドまたは年間収益の10%のいずれか大きい方の金額の罰金を科される可能性がある。
しかし、この法案は最初に提出された時よりも規模が倍増している上、特に第122条に関しては、その規定によって英国情報通信庁(Ofcom)がこれらの企業にスキャンを実行できるソフトウェアの開発と導入を義務付けることになる点に批判が集まっていた。また、同条項が適用されてエンドツーエンド暗号化が取り除かれれば、ジャーナリスト、人権活動家、外交官、一般市民が監視、個人情報の窃取、詐欺、データ漏洩の危険に晒されるとの指摘もなされた。WhatsAppやSignalなどの暗号化メッセージングアプリは、法案が前進する場合、英国からサービスを撤退すると脅していた。
しかし、今回122条が取り下げられたとはいえ、この問題に対する政府の立場は変わっておらず、法案には未だ、特定の状況下でOfcomから企業に対して違法な児童ポルノコンテンツ対策のための指示を出せるようにするための内容が含まれると政府関係者らは述べている。また世論調査においても、英国民はエンドツーエンド暗号化の環境における児童虐待への対策を圧倒的に指示しているとの結果が出ているという。
廃業したZavio社製のセキュリティカメラに、パッチ不在の欠陥が数十件見つかる(CVE-2023-4249、CVE-2023-3959)
SecurityWeek – 06 September 2023
IoTファームウェア解析プラットフォームのプロバイダーであるBugProve社の研究者は、Zavio社製のセキュリティカメラで発見した数十件の脆弱性の詳細を公表した。Zavioは廃業した中国企業だが、同社のセキュリティカメラは米国とヨーロッパでまだ使用されているとの報告があることから、これらの脆弱性に関する認識を高めることが重要視されている。
BugProveは、ZavioのIPカメラの様々なモデル、特に様々な監視システムとの統合に使用される「Onvif」と呼ばれるデーモンに影響を与える34件以上のメモリ破壊およびコマンドインジェクションの脆弱性を特定した。BugProveによると、脆弱性のうち7件は、root権限を用いた認証なしでのリモートコード実行に悪用される可能性があるという。この種の欠陥は通常、攻撃者が標的のデバイスを完全に制御することを可能にする。IPカメラは、ビデオフィードをハイジャックする目的で狙われることもあるが、実際の攻撃ではボットネットに狙われ、DDoS攻撃などに悪用されることがほとんどである。
BugProveは多くの個別の脆弱性を発見しているが、同じコアな問題に起因する欠陥のため、CISAは2つのCVE識別子(CVE-2023-4249とCVE-2023-3959)のみを割り当てることを決定した。これらの欠陥は2022年後半に発見されていたものの、開示プロセスが長引いたことは注目に値する。
影響を受けたZavio社製カメラにはパッチが適用されないため、ユーザーはハッカー攻撃の被害に遭わないために、デバイスを交換するよう勧告されている。BugProveは技術的な詳細をブログで発表しており、CISAは近日中に独自のアドバイザリーを発表すると思われる。