この攻撃では、過去に流出した認証情報と、企業側の多要素認証設定の不備が悪用されました。
Microsoftのユーザーが、大規模かつ自動化されたパスワードスプレー攻撃の被害に遭いました。
この攻撃の標的となった企業の中には、セキュリティ企業Huntressの顧客も含まれていました。同社の報告によると、攻撃者は6月12日から26日にかけて、同社顧客のアカウントに対して8100万回のログイン試行を行い、少なくとも78件で成功していました。
しかも、これはHuntressの顧客であるMicrosoftアカウント保有者に対する攻撃に限った数字にすぎません。パスワードスプレー攻撃はその性質上、無差別に接続を試みるものであるため、実際に侵害されたアカウントの数はさらに多い可能性があります。
Huntressがブログ投稿で明らかにしたところによると、これらの攻撃はすべて単一の発信源、すなわちインターネットプロバイダーLSHIY LLCが管理するIPv6アドレス範囲から行われていました。LSHIYはその後、攻撃に使用されたIPアドレスを利用していた顧客のアクセスを停止しています。詳細はブログ投稿で報告されています。
Huntressは以前からスプレー攻撃を監視しており、6月12日からわずかな増加傾向を確認していましたが、6月22日には顧客30社が被害を受けるという急激な急増が発生していました。
攻撃者は、OAuthのROPC(Resource Owner Password Credentials)フローを通じて、検証済みの認証情報を再利用していました。このフローでは、テナントの/tokenエンドポイントにユーザー名とパスワードを入力すると、正しい認証情報が提供された場合に、新たなユーザー委任トークンが発行される仕組みになっています。これが可能になったのは、攻撃者が用いた手法に対応できるよう多要素認証(MFA)が設定されていなかったためです。
Huntressによると、これは一部のケースで、MFAが「All Cloud Apps(すべてのクラウドアプリ)」ではなく、特定のアプリに対してのみ強制されていたことが原因でした。例えば、一部の組織ではMicrosoft管理ポータルに対してMFAを強制していましたが、これは攻撃者が使用したAzure CLIログインをカバーしていませんでした。
また別のケースでは、組織が特定のユーザーグループ(管理者のみなど)に対してのみMFAを有効化していました。侵害されたユーザーは、こうした特定のユーザーグループの対象外だったのです。