2023 年 5 月から 6 月にかけて、一部のユーザーに関する MSA のキーとトークンが奪取され、メール閲覧される攻撃が行われていたと Microsoft Blog で語られていました。
この内容を見ると Microsoft 365 側に非常に危険な脆弱性があるようにも見え、現にこの内容を取り上げたニュースサイトでも全面的に Microsoft の問題であったように報道されていました。
これ、本当かなとちょっと気になったので調べてみました。結論としてはおそらくそうではなく、ユーザーの管理の問題と Microsoft のシステム問題をついた複合的な問題だったのかなと推測しています。
最初は MSRC にて関連する内容をさがしてみました。
MSA のキー(ここでいうキーは証明書だと思われます)を入手した悪意あるユーザーが、 OWA を通じて Azure AD のトークンを入手、 Exchange にアクセスした。という流れだったようです。
MSA に対する証明書というくだりは、おそらく Windows Hello や FIDO2 関連の仕組みを認証に利用するようにしていたのかと思われます。
MSA のセキュリティ設定の中でこれらを選択することができ、このケースは証明書が発行される手法となっています。
ここで設定した証明書を何らかの方法で入手できれば、トークンは作りたい放題になるはずなので、証明書の管理は重要ですね。
ちなみに Windows 11 では証明書は Credential Guard といった機能で分離管理されるので、安全性が高くなっています。
そして、 Azure AD のトークンが入手出来てしまった件ですが、これは Outlook の機能にある別のシステムを Outlook 上から接続する個所に依存するのかなと思います。
この辺りはかなり憶測交じりですが、一度設定しておけば次のアクセス以降はトークン要求に変わるでしょうから、 Azure AD との接点となりうるのではないかと。
Outlook.com を利用する Microsoft 365 Business は MSA が必要要件になっているので、このライセンスを利用されていた人が狙われたのではないかなと思います。
さいごに、これに関連した CISA のガイドを見ておきましょう。 CISA はアメリカのサイバーセキュリティ・社会基盤安全保障庁で、セキュリティインシデントが発生した際に緩和方法などをアドバイスしてくれるのです。
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-193a
ここではなぜこの問題にユーザー側が気がついたか。という視点で資料がまとめられていました。
監査ログを見ていたら怪しいアクセスがあった。という流れだったようです。
監査ログに見慣れない Client App ID を持ったアクセスがあったということなのでしょう。
一般組織が気が付くのはかなり難しい部類ですね。
ここではこの流れで監査ログを有効にしておくことと、追加推奨ということで、 Purview Audit を有効化することを挙げています。
これは E5 ライセンスが必要な奴なので、世間では E5 で長期ログ保管をしつつ、こういった問題がどこかで起きた後に自動的に監査の項目に挙げてくれる自動化セキュリティの機能を活用すべきだ。ということなのでしょう。
自動化セキュリティは以下の個所に書かれている機能ですね。
https://www.microsoft.com/ja-jp/microsoft-365/enterprise/e5?WT.mc_id=M365-MVP-5002496
見ての通り非常に高価で、 E3 と比べると倍とまではいかないものの、、、という感じなので導入には躊躇する部分もあるんですよね。
というわけで、今回のトークン奪取、実際はどういった動きだったのか気になるところです。
今後の続報を待って E5 の必要性を検討してみたいですね。
音楽:born stubborn