ロシアハッカー、Microsoftをパスワード攻撃で狙う：全アカウント保護の警鐘

Last Updated on 2024-07-06 04:21 by 門倉 朋宏

Microsoftはロシアのハッカーグループによるパスワードスプレー攻撃の被害者となった。この攻撃では、単純なパスワードを使用して非アクティブなアカウントを乗っ取り、内部情報にアクセスした。この事例は、パスワードのセキュリティとすべてのユーザーアカウントの保護の重要性を強調している。

パスワードスプレー攻撃は、同じ弱いパスワードを複数のアカウントに試す手法であり、Microsoftでは非アクティブなテストアカウントが侵入された。この攻撃は、特権アカウントだけでなく、低特権アカウントも含めたすべてのアカウントが潜在的な侵入経路となり得ることを示している。

対策として、組織は強力なパスワードポリシーの実施、多要素認証の有効化、Active Directoryの定期的な監査、および既知の危険なパスワードのスキャンなどを行う必要がある。これらの対策は、ブルートフォース攻撃への防御としても機能する。また、レガシーや非アクティブなアカウントの見落としを防ぎ、既知の危険な資格情報のブロックによって追加の保護層を提供することが重要である。

【ニュース解説】

2024年1月、Microsoftはロシアの国家ハッカーグループであるMidnight Blizzard（Nobeliumとしても知られている）によるハッキングの被害者となりました。この攻撃は、高度な技術を駆使したものではなく、単純なパスワードスプレー攻撃を用いて、古く非アクティブなアカウントを乗っ取ることで実行されました。この事例は、パスワードのセキュリティと全ユーザーアカウントの保護の重要性を改めて浮き彫りにしました。

パスワードスプレー攻撃とは、同一の弱いパスワードを多数のアカウントに対して試す手法です。この攻撃により、Microsoft内のレガシーな非生産テストアカウントが侵入されました。このアカウントを足がかりとして、攻撃者はネットワーク内で横移動し、特権を昇格させ、敏感な情報にアクセスすることが可能になりました。

この攻撃は、特権アカウントだけでなく、低特権アカウントも含め、すべてのアカウントが攻撃者にとって潜在的な侵入経路となり得ることを示しています。非アクティブなアカウントは、しばしば弱いまたは古いパスワードを使用しているため、攻撃者にとって魅力的なターゲットとなります。一度侵入されると、攻撃者はネットワーク内で横移動し、さらに多くの敏感な情報にアクセスすることができます。

組織は、強力なパスワードポリシーの実施、多要素認証（MFA）の有効化、Active Directoryの定期的な監査、および既知の危険なパスワードのスキャンを行うことで、このような攻撃に対する防御を強化する必要があります。特に、レガシーや非アクティブなアカウントに対しても、これらのセキュリティ対策を適用することが重要です。これにより、攻撃者が侵入するための経路を閉ざし、組織のセキュリティを向上させることができます。

この事件は、組織が全アカウントのセキュリティを確保することの重要性を再認識させるものです。強力なパスワードポリシーの実施、MFAの有効化、Active Directoryの監査、既知の危険なパスワードのスキャンなど、総合的なセキュリティ対策を講じることで、攻撃者による侵入のリスクを大幅に低減させることが可能です。

from Key Lesson from Microsoft’s Password Spray Hack: Secure Every Account.