2要素認証 (2FA) の侵害:Microsoft アカウントの乗っ取り

2要素認証 (2FA) は今やビジネスの1/3近くが採用しています。 これはユーザーに対し、アカウントにログインする際に、複数の識別要素の提示を要求する方法です。これによりサイバー犯罪者が単にパスワード情報を使ってシステムをハックするのを防ぐことができます。アカウントへのアクセスを得るには、さらなるセキュリティレイヤー、たとえば生体認証(生来の特徴)、個人情報(知識)、あるいは電話やEメールに送られたコード(所有物)を必要とします。しかし、2FA プロセスそのものが侵害されたらどうなるでしょうか?
Darktraceは最近、まさにこのようなケースを観測しました。Microsoft 365 アカウントが乗っ取られ、攻撃者は一時的に認証設定を変更してSMSコードが彼らの電話に送信されるようにしたのです。この攻撃はユーザーアクティビティに紛れ込んで検知されないようにしようとしました。しかし、Darktraceはユーザーの挙動のかすかな異常からこのアカウント侵害を識別することができました。これには、疑わしいログイン、不審なEメールルールの変更、ファイル削除などが含まれていました。
こうしたSaaSベースの攻撃は急激に増加しています。多くの企業がリモートビジネスのためにますますSaaSプラットフォームに依存するなかで、これは驚くに値しません。Microsoft 365は現在、これらの企業のEメール、ユーザー管理、ファイルストレージおよび共有のために幅広く使われています。これによりアタックサーフェスは拡大し、サイバー犯罪者にとっての格好の機会となっています。SaaSプラットフォームは多くの場合サイロ化されており、セキュリティチームはこれらに対する可視性を持っていないことが多く、複数のプラットフォーム間でのイベントの相関付けに苦労しています。
Darktrace Cyber AI はSaaS 環境全体を保護し、Microsoft 365 および Azure プラットフォームに対して完全なカバレッジを提供することができます。今回取り上げる事例では、お客様はMicrosoft 365を使っていました。攻撃は他のすべてのセキュリティツールをすり抜けたにも関わらず、DarktraceのMicrosoft 365コネクタにより識別され、Cyber AI Analystにより調査されました。Cyber AI Analystは世界初のAI調査テクノロジーであり、セキュリティインシデントを自動的にトリアージし、解釈し、インシデントの全貌をレポートします。
2FAを使ってMicrosoftアカウントがどのように侵害されたか
最近、ある企業の財務部のユーザーのアカウントが侵害されました。この企業にはMicrosoft 365ユーザーが約10,000ユーザーいます。最初の感染はおそらく、この従業員がフィッシングメールのリンクをクリックしたことから発生したとおもわれます。

図1:攻撃のタイムライン
Darktraceは米国およびガーナの不審なロケーションからのMicrosoft 365アカウントへの疑わしいログインを検知し始めました。これらのログインは多要素認証(MFA)セキュリティをパスすることに成功しました。攻撃者は密かにユーザーの設定を操作し、登録された電話番号を変更して認証のためのテキストメッセージが彼らに直接送られるようにしたのです。

図2:Darktraceの専用SaaSコンソールに表示されたMicrosoft365内の不審なアクティビティ
2FAはいくつかの戦術で破ることができます。SIMスワップ攻撃や悪意あるOAuthアプリケーションの使用によりハッキングされることがあります。また、攻撃者はフィッシングやソーシャルエンジニアリング攻撃を使って、標的となったユーザーがフィッシングページに入ると同時にリアルタイムにワンタイムパスワードを使用することさえあります。
この不審なログインに続いて、Darktraceは攻撃者がユーザーのアカウントに対するEメールルールを変更したことを観測しました。また、複数の共有受信箱の設定も変更し、これには与信管理に関係するものも含まれていました。
この間、攻撃者がユーザーの受信箱内の複数のEメールにアクセスしていることが確認されています。攻撃者は受信箱を漁って機密データを探そうとしていたか、あるいはユーザーの通常のアクティビティやメールの書き方を知ることにより、アカウントの持ち主を装ったもっともらしいフィッシングメールを作成しようとしていたのかもしれません。また、攻撃者はこのユーザー宛ての複数のEメールを削除し、痕跡を消そうとしていました。
この組織の他のセキュリティスタックからはこの脅威が見えていませんでしたが、DarktraceのMicrosoft 365コネクタはこの異常な動作を検知し、Cyber AI Analystによる自動調査が開始されました。これに続いてセキュリティチームが対応し、攻撃者がいくつかの重要な共有メールボックスを悪用する前にこれを阻止することができました。
攻撃者の行動を続けさせていた場合、彼らはこの組織やその顧客の知的財産(IP)や機密性が高い財務データにアクセスすることができていたでしょう。これらの情報は将来、企業に何万ドルもの被害を及ぼすことが知られている、偽の支払い要求のための武器として使われていたかもしれません。
Cyber AI Analystによる脅威の調査
数百名のエキスパートサイバーアナリストによりトレーニングされたCyber AI AnalystはSaaSアカウント侵害を含めたあらゆる種類の脅威に対して自律的な調査を実施します。このケースでは、異常なログインとユーザーの動作をつなぎ合わせ、レビューに使用できるインシデントについての自然言語で書かれたサマリーを生成しました。人間のアナリストであれば、これを作成するのに平均で3時間程度かかると思われます。Cyber AI Analyst はこれをほんの数秒で行い、92%の時間節約を実現しています。

図3:Cyber AI Analystによる不審なログインとファイルアクセスについてのレポート例
まとめの考察
ダイナミックなワークフォースの分散はこれまで以上に進み、SaaSアプリケーションや広範囲に広がったITシステム上で貴重なデータがホスティングされています。今日のデジタルにグローバル化した世界においては、サイバーセキュリティもユビキタスであることが求められ、デジタル環境全体に完全な可視性を持たなければなりません。
このサイバー攻撃は標的型で巧妙なものでした。漏えいした認証情報が使用されたため、ログイン成功前にブルートフォースアクティビティは見られませんでした。さらに、攻撃者は2要素認証を突破し、またEメールの削除によって痕跡を消して正当なユーザーアクティビティに溶け込もうとしました。
しかし、Darktrace AIはユーザーの挙動のかすかな異常を検知し、環境内に望ましくない存在があることを特定したのです。DarktraceはクラウドやSaaS内の攻撃ライフサイクル全体をカバーすることができ、最初のスピアフィッシングメールから完全なアカウント乗っ取りまで、他のセキュリティ対策、たとえば2FAが侵害された場合でも検知可能です。これらの攻撃においては、早期検知と早期対応が鍵です。Darktraceが攻撃を検知していなければ、著しい金銭的および評判上の悪影響があったと思われます。
この調査結果についての考察はDarktraceアナリストEmma Foulgerが協力しました。