Microsoft Azureと365がサイバー攻撃の標的に、企業は警戒を強化

Microsoft Azureの企業クラウド環境が攻撃者によって侵害され、Microsoft 365アプリケーションが標的にされていることが明らかになりました。このキャンペーンは数ヶ月前に始まり、既に数十の環境と数百の個々のユーザーアカウントが侵害されています。攻撃者は、データの盗難、金融詐欺、なりすましを含む様々な活動を行っており、地理的な地域や産業分野を問わず多岐にわたる組織を標的にしています。

攻撃は、特に戦略的な個人を狙ったテーラーメイドのフィッシングを通じて、企業の階層に沿って様々な従業員を標的にしています。例えば、アカウントマネージャーや財務マネージャーなど、貴重なリソースへのアクセスが可能な中間管理職や、さらに上層部へのなりすまし試みの基盤となり得る職位の従業員が標的にされています。

攻撃者は、ユーザーアカウントへのアクセスを得ると、企業のクラウドアプリケーションを自由に利用し、データ盗難から金融詐欺まで様々な活動を行います。例えば、「My Signins」を通じて、被害者の多要素認証（MFA）設定を操作し、認証アプリや電話番号を登録することで、検証コードを受け取ることができます。また、Exchange Onlineを介して組織内で横移動を行い、人事部や財務部門の従業員など、特に標的にされた個人に高度にパーソナライズされたメッセージを送信します。これらの従業員は、人事情報や財務リソースへのアクセス権を持っています。攻撃者は、Exchangeを含む365内の他のソースから機密企業データを抽出し、被害者のメールボックスから活動の証拠をすべて消去するための専用ルールを作成することも観察されています。

Proofpointは、組織が潜在的な初期アクセス試みやアカウントの乗っ取りに特に注意を払い、研究者が侵害の指標として特定したLinuxユーザーエージェントに注意することを推奨しています。また、すべての企業クラウドユーザーに厳格なパスワード衛生を実施し、成功した侵害の潜在的な被害を制限するために自動修復ポリシーを適用することも推奨しています。

【ニュース解説】

Microsoft Azureの企業クラウド環境とMicrosoft 365アプリケーションが、攻撃者によって標的にされていることが報告されています。この攻撃キャンペーンは数ヶ月前に始まり、既に多数の環境とユーザーアカウントが侵害されています。攻撃者は、データ盗難、金融詐欺、なりすましといった様々な活動を行っており、その手法は地理的な地域や産業分野を問わず多岐にわたります。

攻撃者は、特に企業の階層において戦略的な位置にある個人を狙っています。これには、アカウントマネージャーや財務マネージャーなど、貴重なリソースへのアクセスが可能な中間管理職や、さらに上層部へのなりすまし試みの基盤となり得る職位の従業員が含まれます。

攻撃者がユーザーアカウントへのアクセスを得ると、企業のクラウドアプリケーションを自由に利用し、データ盗難から金融詐欺まで様々な活動を行います。例えば、被害者の多要素認証（MFA）設定を操作し、認証アプリや電話番号を登録することで、検証コードを受け取ることが可能になります。また、Exchange Onlineを介して組織内で横移動を行い、人事部や財務部門の従業員など、特に標的にされた個人に高度にパーソナライズされたメッセージを送信します。

このような攻撃は、企業にとって重大なセキュリティリスクをもたらします。攻撃者が機密情報を盗み出したり、金融詐欺を行ったりすることで、企業の財務や評判に甚大な損害を与える可能性があります。また、攻撃者が被害者のメールボックスから活動の証拠を消去することで、侵害の発見が遅れることも懸念されます。

組織は、このような攻撃に対抗するために、初期アクセス試みやアカウントの乗っ取りに注意を払う必要があります。特に、研究者が侵害の指標として特定したLinuxユーザーエージェントに注意することが推奨されます。また、すべての企業クラウドユーザーに対して厳格なパスワード管理を実施し、成功した侵害の潜在的な被害を制限するために自動修復ポリシーを適用することが重要です。

この攻撃キャンペーンは、クラウド環境とクラウドベースのアプリケーションが増え続ける中で、企業が直面するセキュリティの脅威の複雑さと進化を示しています。企業は、セキュリティ対策を常に更新し、従業員に対する教育を強化することで、このような攻撃から自身を守ることが求められます。

from Ongoing Azure Compromises Target Senior Execs, Microsoft 365 Apps.