クラウド型オフィスサービス「Microsoft 365」を狙った大規模な不正ログイン攻撃が確認された。セキュリティ企業ハントレス(Huntress)によると、約2週間で8,100万回を超えるログイン試行が発生し、64組織の78アカウントが侵害された。多要素認証(MFA)を導入していた組織でも被害が出ており、設定の「死角」を突かれた点が警鐘となっている。
非ブラウザーの認証経路を悪用
攻撃は6月12日から26日にかけて行われた。手口は「パスワードスプレー」と呼ばれるもので、盗み出した大量の認証情報を使い、多くのアカウントに対して総当たり的にログインを試みる方法だ。攻撃者は特に、クラウド資源を管理する「Azure CLI」というコマンドライン用の認証経路を狙った。この経路はブラウザーを使わないため、防御の網から漏れやすいという弱点がある。
MFA導入済みでも被害
深刻なのは、被害に遭った多くの組織がMFAを導入済みだった点だ。ただし、そのMFAは今回悪用された認証経路をカバーする設定になっておらず、防御が空振りになった。攻撃は当初、1日あたり2〜4件と被害が小さかったものの、6月22日には23社にまたがる30アカウントが一気に侵害され、明確な急拡大の局面を迎えた。攻撃元はLSHIY社が保有するIPv6アドレス帯とされている。
ハントレスは、パスワードスプレー攻撃が過去と比べて155倍以上に急増しており、1組織あたり月平均1,964回もの失敗ログインが記録されていると指摘する。MFAを入れただけで安心するのではなく、古い認証方式を無効化し、すべての認証経路を条件付きアクセスポリシーで確実に覆うことが欠かせない。認証情報の使い回しをやめ、パスワード管理を見直すことも、被害を防ぐ基本の一歩となる。
日本への影響
Microsoft 365は日本の企業や自治体でも広く使われており、今回の攻撃は決して対岸の火事ではありません。テレワークの普及でクラウド経由の業務が当たり前になった日本では、同じようにMFAを導入していても、設定の抜け穴から侵入される事態が起こりえます。情報システム担当者は、Azure CLIのような非ブラウザー経路にもMFAが適用されているか、古い認証方式(レガシー認証)が無効化されているかを、いま一度点検しておく必要があります。
個人の利用者にとっても教訓は明確です。同じパスワードを複数のサービスで使い回していると、どこか一つで漏れた情報が別のサービスへの侵入に使われます。パスワード管理ツールの活用や、認証アプリを使ったMFAへの切り替えが、身を守る現実的な手立てとなります。日本ではKDDIやアフラック日本法人など大規模な情報流出が相次いで報じられており、認証情報の防御を一段引き上げる意識がこれまで以上に求められます。
まとめ:MFAは「入れて終わり」ではなく「隙間なく覆えているか」が肝心だと、この機会に確かめておきたいものではないでしょうか。
出典:
BleepingComputer – Hackers target Microsoft 365 accounts with 81 million login attempts
TechRadar – 81 million login attempts hit Microsoft 365 accounts
Cybersecurity News – Azure password spray attack
Photo: Growtika / Unsplash


