Microsoft 365環境を狙った大規模なパスワードスプレー攻撃キャンペーンが確認され、2週間で8100万回を超えるログイン試行が発生していたことが分かりました。
攻撃者はMicrosoftのAzureコマンドラインインターフェース(CLI)を介して認証を試みており、過去の情報漏えいで流出したものの依然として有効なユーザー名とパスワードの組み合わせを使用していました。
MicrosoftのAzure CLIはAzureクラウドリソースを管理するために使用されるツールで、管理者は仮想マシンの管理、アプリケーションのデプロイ、データベースの管理、クラウド運用の自動化などを行うことができます。
攻撃者は有効な組み合わせを見つけると、ROPC(Resource Owner Password Credentials)というOAuthの認証方式を使って認証を行い、多くの環境で安全性の低い条件付きアクセスポリシーが原因となり、多要素認証(MFA)を回避していました。
マネージドサイバーセキュリティ企業のHuntressは、6月12日から26日にかけて自社顧客を標的としたこのキャンペーンを観測し、攻撃者が64の組織にまたがる78件のMicrosoftアカウントを侵害したことを確認しました。

「侵害を受けた企業の多くは条件付きアクセスポリシー(CAP)を通じて多要素認証(MFA)を導入していましたが、今回攻撃者が悪用したこの特定の認証フローをカバーするようには設定されていませんでした」とHuntressは説明しています。
「ROPCが問題視される理由はいくつかありますが、その一つはMFAやSSOといった最新の認証フローに対応していないという点です」
「つまり、今回のキャンペーンで確認されたように、ROPCはインタラクティブなMFAプロンプトを経由せず、パスワードを直接/tokenエンドポイントに送信してしまうのです」
Huntressが指摘した具体的な設定不備には、以下のようなものがあります。
- MFAが「すべてのクラウドアプリ」ではなく特定のアプリケーションにのみ適用されていた
- MFAが管理者などの特定のユーザーグループにのみ強制されていた
- MFAが信頼できない場所からのアクセス時にのみ要求され、信頼できる場所を発信元とするように見えるIPからのトラフィックを許可していた
- ポリシーがレポート専用モードで設定されており、実質的に強制されていなかった
研究者らによると、被害を受けた組織の中にはMFAポリシーが全く存在しないケースもあったとのことです。

全体として、Huntressはパスワードスプレー攻撃が155倍以上に増加していることを観測しており、組織あたりの月間平均失敗ログイン試行回数は1,964回に達しています。
今回のキャンペーンの背後にいる人物は不明ですが、Huntressによると、この活動はLSHIY LLC(AS32167)が所有するIPv6アドレス範囲から発信されているとのことです。
研究者らはLSHIYの悪用報告ポータルを通じてこの調査結果を報告しましたが、レポート公開時点では回答を得られていませんでした。
攻撃者に先んじてあらゆる防御層をテスト
セキュリティチームが検知できている成功攻撃はわずか54%、アラートが発出されるのはたった14%に過ぎません。残りは環境内を検知されずに素通りしています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションがSIEMやEDRのルールをどのようにテストし、脅威が検知をすり抜けるのを防ぐかを解説しています。