search
ja日本語
banner
ホームページ / ブログ / クラウドの欠陥がいかにして中国のスパイにマイクロソフト王国への鍵を与えたか
ブログ
pageSearch
最新ニュース

クラウドの欠陥がいかにして中国のスパイにマイクロソフト王国への鍵を与えたか

Feb 10, 2024Feb 10, 2024

アンディ・グリーンバーグ

ほとんどの IT プロフェッショナルにとって、クラウドへの移行は天の恵みでした。 データを自分で保護するのではなく、Google または Microsoft のセキュリティ専門家に保護してもらいましょう。 しかし、盗まれた単一のキーによってハッカーが数十の組織のクラウド データにアクセスできるようになると、そのトレードオフははるかに危険であるように思え始めます。

火曜日の夜遅く、Microsoft は、Storm-0558 と呼ばれる中国を拠点とするハッカー グループがまさにそれを行ったことを明らかにしました。 このグループは西ヨーロッパ政府に対するスパイ活動に重点を置いており、複数の政府機関を含む 25 組織のクラウドベースの Outlook 電子メール システムにアクセスしていました。

CNNによると、これらの標的には国務省を含む米国政府機関が含まれているが、米国当局は侵害の全範囲と影響の解明に向けて作業を続けているという。 米国サイバーセキュリティ・インフラセキュリティ庁の勧告によると、この侵害は米国政府機関によって6月中旬に発見され、「少数のアカウントから」機密扱いでない電子メールデータが盗まれたという。

中国は何十年にもわたって西側のネットワークを執拗にハッキングしてきた。 しかし、この最新の攻撃には独特のトリックが使われている。Microsoftによれば、ハッカーは暗号キーを盗み、それによって独自の認証「トークン」(ユーザーの身元を証明するための情報の文字列)を生成できるようになり、数十のMicrosoft顧客アカウントを自由に使えるようになったという。

「私たちはパスポートを信頼していましたが、何者かがパスポート印刷機を盗みました」と元 NSA ハッカーで、現在はボストンの応用ネットワーク セキュリティ研究所で教鞭を執るジェイク ウィリアムズ氏は言います。 「マイクロソフトほどの規模のショップにとって、これほど多くの顧客が影響を受ける、あるいは影響を受ける可能性のある顧客がいるということは、前例のないことです。」

Web ベースのクラウド システムでは、ユーザーのブラウザがリモート サーバーに接続し、ユーザー名やパスワードなどの資格情報を入力すると、そのサーバーからトークンと呼ばれる少量のデータが与えられます。 このトークンは、ユーザーがクラウド環境内で自由に出入りできるようにする一種の一時的な ID カードとして機能しますが、資格情報をたまに再入力するだけです。 トークンがなりすましできないようにするために、トークンは、クラウド サービスが所有する証明書またはキーと呼ばれる、偽造不可能な信頼性のスタンプのような、一意のデータ文字列を使用して暗号署名されます。

レクシー・パンデル

リード・マッカーター

アンジェラ・ウォーターカッター

ジュリアン・チョッカトゥ

Microsoftは、中国のOutlook侵害を明らかにしたブログ投稿の中で、その認証システムの一種の2段階の破綻について説明した。 まず、ハッカーは、Microsoft がクラウド サービスの消費者グレードのユーザーのトークンに署名するために使用するキーを何らかの方法で盗むことができました。 2 番目に、ハッカーは Microsoft のトークン検証システムのバグを悪用し、盗んだキーで消費者向けトークンに署名し、それを使用してエンタープライズ グレードのシステムにアクセスできるようにしました。 これらすべては、Microsoft が異なるグレードのトークンの異なるキーからの署名を確認しようとしたにもかかわらず発生しました。

Microsoftは現在、盗まれたキーで署名されたすべてのトークンをブロックし、キーを新しいものに置き換え、ハッカーが被害者のシステムにアクセスできないようにしたと述べた。 同社は、盗難が発生して以来、「鍵管理システム」のセキュリティの向上にも取り組んできたと付け加えた。

しかし、これほど広範なアクセスを可能にするこのような機密性の高いキーが、そもそもどのようにして盗まれることができたのかは、依然として不明です。 『WIRED』はマイクロソフトに問い合わせたが、同社はそれ以上のコメントを拒否した。

Microsoftから詳細は明らかにされていないが、セキュリティ企業Astrixで研究を主導するTal Skverer氏によると、盗難がどのように起こったかについての1つの理論は、トークン署名キーは実際にはMicrosoftからまったく盗まれなかったというものだ。年には、Google のクラウドにおけるトークンのセキュリティ問題が明らかになりました。 Outlook の古いセットアップでは、サービスは Microsoft のクラウドではなく、顧客が所有するサーバーでホストおよび管理されていました。 これにより、ハッカーが顧客のネットワーク上の「オンプレミス」セットアップの 1 つからキーを盗むことが可能になった可能性があります。

前: 最高のコールドプレスジューサー 次: テストおよびレビューされた最高のジューサー (2023)
お問い合わせを送信
送信