マイクロソフト、ハッカーによるExchange Onlineアカウントの侵害手法を共有 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > マイクロソフト、ハッカーによるExchange Onlineアカウントの侵害手法を共有

Threat Report

Silobreaker-CyberAlert

マイクロソフト、ハッカーによるExchange Onlineアカウントの侵害手法を共有

山口 Tacos

山口 Tacos

2024.01.29

マイクロソフト、ハッカーによるExchange Onlineアカウントの侵害手法を共有

(情報源:BleepingComputer – January 26, 2024

マイクロソフトは25日に公開したブログ記事において、同社幹部のEメールアカウントを昨年11月に侵害したロシアのハッキンググループが、この悪意あるキャンペーンにおいて同社以外の組織をも侵害していたことを認めたほか、同グループの活動およびテクニックに関する情報や防御ガイダンスなどを提供した。

Midnight Blizzardとは

攻撃者とされるのは、ロシア政府配下にあるとみられるサイバースパイグループ「Midnight Blizzard」。 Nobelium、APT29といった呼び名でも知られ、ロシア対外情報庁との繋がりが指摘されており、主に米国やヨーロッパの政府組織、NGO、ソフトウェア開発者、ITサービスプロバイダーなどを標的とする。

関連記事

Threat Report

Threat Report

Silobreaker-CyberAlert

ロシアハッカーMidnight Blizzard、Microsoft Teamsを利用したフィッシングで世界の組織を標的に

山口 Tacos

山口 Tacos

2024.01.29

パスワードスプレー攻撃によるマイクロソフトシステムへの侵入

Midnight Blizzardは昨年11月、マイクロソフトのシステムを侵害し、役員やサイバーセキュリティ部門、リーガルチームのEメールを盗んだ。この攻撃には住宅用プロキシが使われ、少数のアカウントへのパスワードスプレー攻撃が行われたことや、狙われたアカウントの1つはレガシーシステム用のテストテナントアカウントだったこと、またこのアカウントではMFAが有効化されていなかったことなどが共有されている。

さらに、このテストアカウントから利用できるOAuthアプリケーションは、マイクロソフトのコーポレート環境へ昇格済みの権限でアクセスできるものだったことも明かされている。このアクセスを利用したMidnight Blizzardは、さらなるOAuthアプリケーションを作成し、ほかのコーポレート受信箱へのアクセスも獲得することができたとされる。

米HPのメール環境にも不正アクセス

マイクロソフトは、同社の脅威インテリジェンスチームが、同社を攻撃したのと同じアクターが別の組織をも標的にしていることを特定した旨、狙われた組織への通知を開始している旨も伝えた。これに先駆けて先週、Midnight Blizzardと思われる攻撃者による不正アクセス被害を公表していたのが米HP(ヒューレット・パッカード・エンタープライズ/HPE)で、同社は昨年5月以降、Eメール環境(Microsoft Office 365)への不正アクセスが行われてデータが抜き取られていたと発表している。

1月26~28日: その他のサイバーセキュリティ関連ニュース

米国家安全保障局、米国人の個人データを違法に購入していたことが発覚

Cybernews – January 27, 2024

米国のRon Wyden上院議員は18日、米国家安全保障局(NSA)がバージニア州のデータブローカーX-Mode Socialを通じ、本人への通知を行わず、同意や令状もないままに米国人の個人データを違法に購入しているとしてNSAを非難した。

Wyden議員は米国国家情報長官(DNI)に宛てた書簡で、この違法行為をやめさせるようDNIに要求。この訴えの背後にあったのは、米連邦取引委員会(FTC)が今月初めに下した決定だった。FTCは1月9日、消費者のプライバシーを侵害するとの理由で、「スマートフォンの位置情報」を販売するデータブローカーに収集した機微データの販売を禁止している。

米上院情報委員会の上級委員でもある同議員は、X-Mode Social(現Outlogic)が位置情報を米軍に直接販売していることを2020年に初めて発見。情報提供を求めていたNSAからようやく返答があり、「同局が令状なしで米国人のインターネット閲覧データを購入している」ことを確認したと述べた。

親ウクライナ派ハッカーグループが露研究センターのデータ2PBを消去

SecurityAffairs – January 27, 2024

ウクライナ国防省情報総局は、親ウクライナ派のハッカーグループ「BO Team」が、ロシアのプラネタ宇宙水文・ 気象学研究所極東センターの280台のサーバーから、2ペタバイト(PB)のデータを消去したことを発表した。

同局はプレスリリースの中で、この研究所の経済的損失は少なくとも1,000万ドルに上るとの推測を示した。またこのサイバー攻撃で、空調や加湿システム、ビルの非常用電源も影響を受けたという。同研究所は、人工衛星から受信したデータを処理し、ロシアの陸軍省や、国防省の参謀本部、サービスを含む50以上の国家機関に関連製品を提供していた。

今回のインシデントにより、ロシアの占領軍を支援するロシアの企業数十社は長期にわたって重要な情報やサービスを得られない状態になるとされている。

なお、この攻撃に関する技術的な詳細はプレスリリースに記載されておらず、マルウェアが使用されたのかや、攻撃に同局が関与していたのかどうかは不明。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ