Microsoft 365アカウントに8100万回のログイン試行、ハッカーが盗んだ認証情報を使ってパスワードスプレー攻撃で不正侵入を試みる


  • パスワードスプレー攻撃によってMicrosoft 365アカウントへの不正侵入に成功
  • 攻撃者は不適切に設定された条件付きアクセスポリシーを悪用してMFAを回避
  • 標的となった組織の多くはMFAを導入していなかった

ハッカーがこれまでに流出していた認証情報を使い、Microsoft 365アカウントを狙ったパスワードスプレー攻撃を実行し、2週間の間に8100万回を超えるログイン試行が確認されました。

攻撃者はResource Owner Password Credentials(ROPC)というOAuth認証方式において不適切に実装されていた条件付きアクセスポリシーを悪用し、Azureコマンドラインインターフェース(CLI)を利用しました。これにより、ユーザー名とパスワードの組み合わせが一致した場合、認証そのものを完全に回避できる状態になっていました。

セキュリティ企業Huntressは、顧客企業を標的としたこの攻撃キャンペーンを観測し、2026年6月12日から26日にかけて64の組織にまたがる78件のMicrosoftアカウントが侵害されたと指摘しています。

認証なしで365アカウントに侵入するハッカー

今回の攻撃が成功した最大の要因は、各組織が多要素認証に関わる条件付きアクセスポリシーをどれだけ適切に実装していたかにありました。

「侵害された企業の多くは条件付きアクセスポリシー(CAP)を通じて多要素認証(MFA)を導入していましたが、そのMFAは攻撃者が悪用した今回の特定のフローをカバーするよう設定されていませんでした」と、HuntressはROPCの悪用について説明しています。

「ROPCが問題視される理由はいくつかありますが、その一つはMFAやSSOといった最新の認証フローに対応していない点です。つまり、今回のキャンペーンで見られたように、ROPCはインタラクティブなMFAプロンプトを一切介さずにパスワードを直接/tokenエンドポイントへ送信してしまうのです」

侵害された組織の中には、そもそもMFAポリシーをまったく適用していなかったところもあれば、管理者など特定のユーザーグループにのみMFAを適用していたところもありました。また別のケースでは、信頼できない場所からのアクセスの場合にのみMFAを要求する設定になっており、信頼済みIPアドレスからの接続であればMFAが適用されない仕組みになっていました。さらに、一部の組織ではMFAポリシーを「レポートのみ」モードで運用しており、実際にはポリシーが適用されない状態だったケースもありました。

この種の攻撃から身を守るため、Huntressは以下の対策を推奨しています。

  • すべてのユーザー、すべてのクラウドアプリ、すべてのクライアントアプリの種類を対象にMFAを実装すること
  • Azure CLIアプリケーションを管理者以外のユーザーが使用できないよう制限すること
  • スプレー攻撃の試行回数ではなく、認証情報の有効性に基づいて対応を行うこと

情報源:BleepingComputer



翻訳元: https://www.techradar.com/pro/security/81-million-login-attempts-hit-microsoft-365-accounts-as-hackers-try-password-spraying-to-force-entry-using-stolen-credentials-and-oauth-to-bypass-authentication

ソース: techradar.com