Microsoftは2月13日(米国時間)、「Storm-2372 conducts device code phishing campaign|Microsoft Security Blog」において、ロシアに関係しているとみられる脅威グループ「Storm-2372」のサイバー攻撃を発見したと報じた。

この攻撃は2024年8月以降、継続して行われており、特定のフィッシング手法を使用してオンラインアカウントを侵害し、そのアカウントからアクセス可能な情報を永続的に窃取するという。

  • Storm-2372 conducts device code phishing campaign|Microsoft Security Blog

    Storm-2372 conducts device code phishing campaign|Microsoft Security Blog

侵害手順

Microsoftによると、この脅威グループは「デバイスコードフィッシング」と呼ばれる攻撃手法を用いるという。これは被害者をだまして攻撃者のデバイスを認証させ、標的アカウントに不正アクセスする攻撃手法。なお、認証時に発行されるトークンは無効化されるまで継続したアクセスを可能とする。

今回発見された攻撃では最初に信頼関係の構築が行われる。攻撃者は被害者が興味を持つであろう有名人になりすまし、WhatsApp、Signal、Microsoft Teamsなどを悪用してメッセージを送信する。しばらくメッセージ交換を繰り返して信頼関係を構築し、攻撃可能と判断した時点でオンラインイベントや会議の招待状を送信する。

  • フィッシングメールの例 - 引用:Microsoft

    フィッシングメールの例 引用:Microsoft

被害者が招待を受けるために認証を行うと、デバイスコード認証が実行される。この招待状は偽物で、記載された招待IDは攻撃者のデバイスコードとなっており、認証すると攻撃者のデバイスが認証される(参考:「信頼済みデバイスを Microsoft アカウントに追加する - Microsoft サポート」)。

  • 偽の招待状の例 - 引用:Microsoft

    偽の招待状の例 引用:Microsoft

デバイスが認証されるとそのデバイスからのアクセスは被害者によるものと見なされ、攻撃者は被害者アカウントにアクセスできるようになる。Microsoftによると攻撃者はここで攻撃を完了せず、被害者の組織内メールなどを分析し、被害者になりすまして他のユーザーに同様の攻撃を実行して横移動したという。

  • デバイスコードフィッシングの侵害経路 - 引用:Microsoft

    デバイスコードフィッシングの侵害経路 引用:Microsoft

さらに2月13日以降、この攻撃者はMicrosoft認証ブローカーの特定のクライアントIDを使用して更新トークンを受け取り、Entra ID内で攻撃者のデバイスを登録したとみられる。その後、プライマリ更新トークン(PRT)を取得して組織のリソースにアクセスし、メールの収集を実施したことが確認されている。

なお、攻撃者は被害者の所在地周辺のプロキシ(ボットやVPN)を使用し、リスクベース認証(ありえない場所からのアクセスをブロックするセキュリティ機能)を回避したことも確認されている。

影響と対策

攻撃者は侵害したアカウントから「ユーザー名、パスワード、管理者、チームビューアー、anydesk、資格情報、秘密、省庁、政府などの単語を含むメッセージおよびメール」を収集していたとされる。

また、主な標的はヨーロッパ、北米、アフリカ、中東の政府、NGO、ITサービスとテクノロジー、防衛、通信、医療、高等教育、エネルギー関連企業など。

Microsoft は対策として、可能な限りデバイス コード ローをブロックすることを推奨している。あわせて、サインイン リスク ポリシーを実装して 、リスクのあるサインインへの対応を自動化することも勧めている。