中小企業が自前で管理するより安全なはずが
中国ハッカー集団がマイクロソフトの認証システムを攻略。欧米政府機関のメールも狙われる
マイクロソフトは11日、中国に拠点を置くハッカー集団「Storm-0558」がヨーロッパ政府機関のメールアカウント等に不正アクセスしていたことを発表した。主にスパイ活動に重点を置いており、政府機関を含む約25の組織のクラウドベースOutlookシステムに侵入していたとのことだ。
また米サイバーセキュリティ当局は、国務省を含む米政府機関も含まれていたと発表。6月中旬には「少数のアカウント」から「機密扱いでない」電子メールデータが盗まれたという。マイクロソフトによると、ハッカーは暗号キーを盗み、認証用の「トークン」(ユーザーの身元を証明するための情報)を独自に生成し、同社の顧客アカウント数十件を自由に行き来していたという。
ほとんどのIT企業にとって、クラウドサービスはGoogleやマイクロソフト等ハイテク大手が自分に代わってデータを守ってくれる天の恵みだったはずだ。それがなぜ、盗まれたキー1つで何十もの組織データにアクセスされる悪夢に変わったのか? その理由につき、複数の専門家が分析を述べている。
マイクロソフトは公式ブログで、トークンの認証システムが2段階で破壊されたと説明している。第一に、何らかの方法でMSA(一般消費者向け)のトークンに署名するためのキーを盗まれてしまった。第二に、Storm-0558は同社のトークン検証システムのバグを悪用し、盗んだ鍵でAzure AD(企業向け)レベルのシステムに侵入できたという。
こうした事態は、マイクロソフトがトークンの種類ごとに別々のシステムにより発行・管理しているにもかかわらず発生したとのこと。すでに盗まれた鍵で署名された全てのトークンをブロックし、鍵を新しいものに交換することで、ハッカーが被害者のシステムにアクセス不可にしたという。
しかし、これほど広範囲な不正アクセスを可能とする機密キーがどうやって盗み出されたのか、正確なところは明らかにされていない。WIREDはマイクロソフトに問い合わせたものの、コメントを拒否されている。そのため、複数の専門家から仮説を聞いているしだいだ。
1つの仮説は、署名キーが実際にはマイクロソフトから盗まれたものではなかったということ。セキュリティ企業Astrixの研究主任Tal Skverer氏は、過去のOutlookではサービスの管理がマイクロソフトのクラウドではなく、顧客のサーバー上で行う「オンプレミス」システムだったことを指摘。つまり、いずれかの顧客から盗み出した可能性があるというわけだ。
そしてハッカーらは、キーが企業トークンに署名できるバグを悪用して、攻撃対象となった約25の組織全てが共有するOutlookクラウドのインスタンス(仮想マシン)にアクセスできたのかもしれない、とのこと。
しかし、この仮説では企業ネットワーク内のオンプレミス・サーバーが、なぜマイクロソフトが一般消費者向けトークンに署名する目的に使われるというキーを使っているのか説明が付かない。また、米政府機関を含む多くの組織が、1つのOutlookクラウドインスタンスを共有しているというのも甚だ疑問である。
さらに深刻な仮説は、トークン署名キーがマイクロソフトそのものから盗まれたというものだ。すなわちマイクロソフトを騙して新しいキーを発行させたか、あるいはキーを作成する暗号化プロセスの不具合を悪用して何らかの方法でコピーしたという説である。
これをマイクロソフトが説明するトークン検証バグと合わせて考えると、この鍵は消費者向け、企業向けを問わず、あらゆるOutlookクラウドアカウントのトークン署名に使われた可能性がある。要は、マイクロソフトのクラウドの大半に侵入できる合鍵として使われた可能性が浮上するわけだ。
著名なウェブセキュリティ研究者であるRobert Hansen氏は、マイクロソフトのブログ記事にある「鍵管理システム」のセキュリティ向上に関する行間から、同社の「認証局」(トークンに暗号署名を追加する鍵の生成システム)が、何らかの形で中国のスパイにハッキングされたことを示唆すると解釈している。
すなわちStorm-0558がそれにより消費者アカウント全体で広くトークンを偽造し、認証バグを通じて企業アカウントにも波及したとすれば、被害者の数は公表する数字をはるかに上回る可能性があるというわけだ。
IT管理者にとって、今回の事件はクラウドに移行する際のメリットとデメリットを示している。マイクロソフトやサイバーセキュリティ大手は、中小企業が独自に管理するよりもセキュリティが向上すると売り込んできた。しかし、一元化されたシステムにはそれなりの脆弱性がある。
元NSA(米国家安全保障局)のハッカーJake Williams氏は「王国の鍵をマイクロソフト社に渡すことになる」と喩えているが、それを快く思っていないとしても、組織にとって他にいい選択肢があるわけでもなく、IT管理者の悩みが解消されることはなさそうだ。