Microsoftは、Adversary-in-the-Middle(AiTM)によるセッションハイジャックとビジネスメール詐欺(BEC)の手法を組み合わせた、複数段階にわたる高度な侵入の一連の流れを公開した。この攻撃はエネルギー分野の組織を特に標的としており、攻撃者はSharePointを主要な経路として悪質なリンクを拡散し、その後侵害環境内に足場を築いた。
攻撃の初期段階は、以前に侵害された第三者組織に属するアカウントから送信されたフィッシングメールによって実行された。このメールにはSharePointドキュメントへのリンクが含まれており、標準的なMicrosoft通知に見えるよう綿密にデザインされていた。リンクを開くと、被害者は企業のログインリソースを精巧に模倣した認証ポータルへ誘導された。クラウドサービスの見慣れたインターフェースと、メール件名の計算された操作により、この通信の正当性は大きく補強されていた。
アカウントの乗っ取りに成功すると、犯行者はそれを利用して社内および外部の関係者に対し、さらなる欺瞞的なメールを拡散した。新たなフィッシングリンクを含む600通超のメッセージが、正規の担当者を装って送信された。受信者は過去のメールスレッドに基づいて選定されており、攻撃成功の確率を最大化するための戦術的な選択だった。
デジタル上の痕跡を隠し、密かに潜伏し続けるため、攻撃者は一般的な手口を用いた。受信した返信を自動的に削除し、既読としてマークする受信トレイルールを設定したのである。さらに、攻撃者は不審な通信に対する反応を注意深く監視し、問い合わせには自ら返信して最初の送信の正当性を主張し、疑念を回避した。
侵害は単一ユーザーに限定されず、悪意あるリンクにアクセスした者は追加のセッションデータ流出の対象となった。Microsoftの専門家は、不審なIPアドレスからの繰り返しログインなど、侵害を示す明確なフォレンジック上の痕跡を記録した。
同社によれば、この種の状況では従来の復旧対応では不十分だという。セッションクッキーが有効なまま、あるいは多要素認証(MFA)を回避する仕組みが確立されている場合、単純なパスワードリセットは効果がない。場合によっては、攻撃者がシステム設定を再調整し、ワンタイムパスコードを自らが管理する電話資産へ転送するようにしていた。
このような高度な脅威に対する防御を強化するため、Microsoftは条件付きアクセス ポリシー、厳格なアクティビティ監視、暗号証明書または物理的なセキュリティキーの採用を含む、包括的なセキュリティ態勢を推奨している。同社はまた、Zero-hour Auto Purge(ZAP)などの自動復旧メカニズムを展開し、影響を受けた顧客に手動支援も提供した。この活動の急増は、クラウド環境における補助的な防御層の必要性、とりわけ高リスク産業における重要性を浮き彫りにしている。MFAを有効にしていても、セッションデータの完全性を維持し、異常なシステム挙動に迅速に対応することが依然として最重要である。
