Microsoft Graph APIがデータ盗難計画における攻撃者の主要ツールとして浮上している。国家主導のスパイ活動では、Microsoftのネイティブサービスをコマンドアンドコントロール(C2)のニーズに利用するケースが増加している。これにより、攻撃者は自身のインフラを構築・維持するコストと手間を省き、正当なサービスを利用することで、悪意ある行動を正規のネットワークトラフィックに紛れさせやすくなる。
Microsoft Graphは、開発者がMicrosoftクラウドサービス全体のデータ(メール、カレンダーイベント、ファイルなど)に接続するために使用するAPIを提供する。このAPIを利用して、攻撃者はC2インフラを実行することが可能である。例えば、Symantecの脅威ハンターは、ウクライナの組織を対象とした「BirdyClient」と呼ばれる新種のマルウェアを発見した。このマルウェアはGraph APIに接続し、OneDriveを使用してファイルをアップロードおよびダウンロードすることを目的としている。
以前には、北朝鮮のAPT37によって開発された「Bluelight」や、南アジアの組織を対象とした国家支援のスパイ活動に使用された「Backdoor.Graphon」、ヨーロッパとアジアの政府を狙ったスピアフィッシング攻撃によって拡散された「Graphite」、さらには2022年12月の東南アジアの外務省への侵入に使用された「SiestaGraph」など、多様なマルウェアがGraph APIを利用している。
これらのマルウェアは、365サービス、主にOneDriveを利用してC2を実現している点で共通している。組織は、不正なクラウドアカウントの使用により警戒を強める必要がある。また、クラウドプラットフォームへのアクセスを許可する際には、マルウェアによる警告の発生が少なくなる可能性があるため、注意が必要である。
【ニュース解説】
MicrosoftのGraph APIが、データ盗難を計画する攻撃者にとって主要なツールとして浮上しています。このAPIは、開発者がMicrosoftのクラウドサービスに格納されている様々なデータにアクセスするために使用されますが、攻撃者はこのAPIを悪用して、コマンドアンドコントロール(C2)インフラを構築し、悪意ある活動を正規のトラフィックに紛れさせることが可能になります。
この手法は、攻撃者にとって自身のインフラを構築・維持するコストと手間を省くことができるだけでなく、検出を避けやすくするという利点もあります。最近では、ウクライナの組織を狙った「BirdyClient」という新種のマルウェアが発見されました。このマルウェアは、Graph APIを介してOneDriveを使用し、ファイルのアップロードやダウンロードを行います。
さらに、北朝鮮のAPT37によって開発された「Bluelight」や、南アジアの組織を狙った「Backdoor.Graphon」、ヨーロッパとアジアの政府に対する「Graphite」、東南アジアの外務省への侵入に使用された「SiestaGraph」など、様々なマルウェアが同様の手法を採用しています。
このような攻撃の増加により、組織は不正なクラウドアカウントの使用に対して警戒を強める必要があります。特に、個人のクラウドアカウントが職場のネットワークからアクセスされることがあるため、クラウドプラットフォームへのアクセスを制限し、企業が所有するアカウントへの接続のみを許可することが重要です。
この攻撃手法の発見は、サイバーセキュリティの分野において、攻撃者が常に新しい手法を模索していることを示しています。そのため、セキュリティ対策も進化し続ける必要があります。また、この問題は、クラウドサービスのセキュリティ対策の重要性を浮き彫りにしており、企業は自社のデータを保護するために、クラウドアクセスの監視と制御を強化することが求められます。このような攻撃の増加は、将来的にクラウドサービスのセキュリティ基準や規制の強化につながる可能性もあります。
from Microsoft Graph API Emerges as a Top Attacker Tool to Plot Data Theft.
