1件のID侵害がクラウド全体の大規模侵害へ　マイクロソフトがStorm-2949による攻撃事例を解説

1件のID侵害がクラウド全体の大規模侵害へ　マイクロソフトがStorm-2949による攻撃事例を解説

May 19, 2026 – IBTimes

マイクロソフトの脅威インテリジェンスチームは最近、新たな脅威アクター「Storm-2949」による高度な多層型攻撃を発見。データ窃取を目的としたこの攻撃は、1件のアカウントが乗っ取られたことから始まり、その後急速に当該組織のクラウドインフラ全体の侵害へと発展したという。攻撃者はマルウェアに頼り切るのではなく正規のツールや盗んだ認証情報を悪用し、複数のMicrosoft 365サービスやAzureでホストされた本番環境、ストレージアカウント、データベース、仮想マシンにまで侵害を広げたとされる。

マイクロソフトによれば、この攻撃はまず、ソーシャルエンジニアリングの手法を使った「標的型アイデンティティ侵害」からスタート。攻撃者は「Microsoft Entra セルフサービス パスワード リセット（SSPR）」のプロセスを開始すると、IT担当者になりすまし、標的組織の従業員を欺いて多要素認証（MFA）プロンプトを承認させることにより、従業員アカウントを乗っ取ったという。このプロンプトを正規のものに見せかけるためのルアーとしては、「緊急でアカウントの認証が必要」などの口実が使われた可能性が考えられる。

従業員がMFAプロンプトを承認すると、攻撃者はSSPRプロセスを悪用してパスワードをリセット。既存のMFAメソッドを削除し、攻撃者自身の認証端末を登録したという。これにより、永続アクセスを確保するまでの間、正規ユーザーがアカウントにアクセスできないようにしていた。

その後、Storm-2949は同様の手口を繰り返し使用してさらに複数のユーザーアカウントを侵害。これには、高価値なデータへのアクセスを有していたとみられるIT担当者や経営幹部などのアカウントも含まれていたとされる。

続いてStorm-2949は、Microsoft Graph APIとカスタムのPythonスクリプトを使用してユーザーやロール、アプリケーション、サービスプリンシパルを列挙。それぞれについて、長期的な持続可能性の機会を評価した。

その後、攻撃者は、データ窃取を目的にOneDriveやSharePointなどのMicrosoft 365へアクセス。VPN構成設定やIT運用関連のファイルのほか、クラウドからエンドポイントネットワークへのラテラルムーブメントに役立ちそうなリモートアクセス情報を優先的に探していたという。マイクロソフトによれば、あるケースでは、Storm-2949はOneDriveのWebインターフェースを使用して、「一度の操作で数千ものファイルを自身のインフラストラクチャにダウンロードした」とされる。侵害された各アカウントにおいて、このパターンのデータ窃取が繰り返された。

この攻撃キャンペーンは、Storm-2949が「Azure ロールベースのアクセス制御（Azure RBAC）」の権限を利用してAzureクラウド環境へ深く侵入したことにより、さらにエスカレート。同アクターは、複数のAzureサブスクリプションにおけるRBACロールを有していたいくつかのIDを侵害し、仮想マシンやストレージアカウント、Azure Key Vault、アプリサービス、SQLデータベースなどへと攻撃を拡大していったという。この際攻撃者は、マルウェアを展開するのではなく正規のAzure管理機能を悪用するという手法を取っていた。

マイクロソフトは、このインシデントを「単一の侵害されたアイデンティティが、いかにクラウド全体の侵害の開始点となり得るか」についての警告として捉えているという。また、重要なインフラがクラウドへ移行される傾向が続く中、攻撃者がエンドポイントではなく「アイデンティティ」をますます重視するようになっていることも、この事例により改めて浮き彫りになっている。