パスワードスプレー攻撃への注意喚起 / Microsoft warns over uptick in password spraying attacks(転載)~SolarWindsのサーバーは「solarwinds123」というパスワードだった!?~


パスワードスプレー攻撃への注意喚起
Microsoft warns over uptick in password spraying attacks 

マイクロソフト社のDART(Detection and Response Team)によると、国家が支援するハッカーやサイバー犯罪者は、攻撃者にとって手間がかからず価値の高い方法である「パスワード・スプレー」を使って個人情報を狙っているとのことです。

サイバー攻撃者が探しているのは、ソフトウェアの欠陥やサプライチェーンの脆弱性、オープンなRDP接続だけではありません。ハッカーが狙うもう一つの重要な資産は、アイデンティティ、特に他の社内システムへのアクセスを可能にするアカウント情報です。

CISA(米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)は2021年初め、SolarWinds社の攻撃の背後には、クレムリンの支援を受けたと疑われるハッカーが、ソフトウェアのアップデートをトロイの木馬化するだけでなく、初期アクセスのための管理アカウントのパスワードを推測し、パスワードを散布していたと警告しました。

最近では、イランの新興ハッキンググループが、ペルシャ湾で活動するイスラエルや米国の重要インフラのターゲットに対してパスワードスプレーを使用しているのをマイクロソフトが確認しています。

マイクロソフト社は、アカウント侵害の3分の1以上がパスワードスプレー攻撃であると推定しています。このような攻撃は、組織がマイクロソフト社の「パスワード保護」を使用して不正なパスワードを回避しない限り、アカウントに対する成功率は1%であるにもかかわらずです。

マイクロソフトは昨年、「1人のユーザーに対して多くのパスワードを試すのではなく、1つのパスワードに対して多くのユーザーを試すことで、ロックアウトや検知を回避しようとしている」と説明しました。このアプローチは、パスワードの試行に何度も失敗するとロックアウトされてしまうようなレート制限を避けるのに役立ちます。

マイクロソフト社のDART(Detection and Response Team)は、2つの主なパスワードスプレーの手法を紹介していますが、そのうちの1つを「Low and Slow」と呼んでいます。ここでは、決意を持った攻撃者が、"複数の個別のIPアドレスを使って、限られた数の呪われたパスワードを推測して、複数のアカウントを同時に攻撃する "という高度なパスワードスプレーを展開します。

もう1つの手法である「availability and reuse(可用性と再利用)」は、ダークウェブに掲載・販売されている過去に侵害された認証情報を悪用するものです。攻撃者は、「クレデンシャルスタッフィング」とも呼ばれるこの戦術を利用して、サイト間でパスワードやユーザー名を再利用することで、簡単に侵入することができます。

レガシーで安全性の低い認証プロトコルは、多要素認証を実施できないため、問題となっています。また、DARTによると、攻撃者はREST APIに注目しているとのことです。主な標的となるアプリケーションは、Exchange ActiveSync、IMAP、POP3、SMTP Auth、Exchange Autodiscoverなどです。

「最近、DARTでは、クラウドの管理者アカウントがパスワードスプレー攻撃の標的になるケースが増加している」とマイクロソフトは指摘しています。  

また、セキュリティ管理者、Exchangeサービス管理者、グローバル管理者、条件付アクセス管理者、SharePoint管理者、ヘルプデスク管理者、請求書作成管理者、ユーザー管理者、認証管理者、会社管理者などの役割に対してセキュリティコントロールを設定する際には、特に注意が必要です。マイクロソフト社によると、Cレベルの重役や、機密データにアクセスする特定の役割など、注目度の高いアイデンティティもよく狙われるそうです。

マイクロソフト社、NobeliumことSolarWinds社のハッカーたちが、主に上流の顧客から管理者権限を委譲されたマネージドサービスプロバイダーを対象に、新たなターゲットに対してパスワードスプレー攻撃を行っていると警告しました。

マイクロソフトは、Nobeliumが "サービスプロバイダーの特権アカウントを標的にして、クラウド環境を横に移動し、信頼関係を利用して下流の顧客にアクセスし、さらなる攻撃を可能にしたり、標的のシステムにアクセスしたりしていた "ことを突き止めました。

今回の攻撃は、製品のセキュリティ上の脆弱性によるものではなく、"高度なマルウェア、パスワードスプレー、サプライチェーン攻撃、トークンの盗難、APIの不正使用、スピアフィッシングなど、Nobeliumのダイナミックなツールキットを継続して使用し、ユーザーアカウントを侵害してそのアクセスを利用している "とマイクロソフトは強調しています。

DARTは、スプレー攻撃が少なくとも1つのアカウントで成功したかどうかを判断すること、どのユーザーが影響を受けたかを判断すること、管理者アカウントが侵害されたかどうかを判断することなど、調査の方針を立てるのに役立つ便利なヒントを提供しています。