13万台のデバイスからなる大規模な中国のボットネットがMicrosoft 365アカウントを標的に

中国に関係する強力なボットネットが、Microsoft 365 アカウントに対して大規模なパスワード スプレー攻撃を仕掛けているのが発見され、企業や組織が深刻なリスクにさらされています。SecurityScorecard によると、このボットネットは 13 万台もの侵害されたデバイスによって稼働しており、この種のものとしては最大級のサイバー脅威の 1 つとなっています。

攻撃の仕組み

このボットネットは、非対話型サインインと基本認証という、Microsoft 365 セキュリティの 2 つの弱点を悪用し、多くの構成で多要素認証をトリガーせずに、攻撃者が盗んだ資格情報をテストできるようにします。

非対話型サインインは、サービス間認証や POP、IMAP、SMTP などのレガシー プロトコルでよく使用されるため、セキュリティ チームによる監視はそれほど厳しくありません。基本認証は Microsoft によって非推奨になっていますが、一部の環境では依然としてアクティブであり、資格情報をプレーンテキストで送信できるため、ハッカーにとって格好の標的となります。

ボットネットは、多くの場合、インフォスティーラー マルウェアによって収集された盗まれたユーザー名とパスワードを取得し、それらを Microsoft 365 アカウントに対して体系的にテストします。成功すると、攻撃者は機密データにアクセスし、業務を妨害し、組織内で横方向に移動することができます。

この攻撃が検知しにくい理由

この攻撃の最も恐ろしい側面の 1 つは、そのステルス性です。パスワード スプレー攻撃の試みは非対話型のサインインで記録されるため、多くのセキュリティ チームはこれらの記録を綿密に監視できません。これにより、攻撃者はレーダーをすり抜けながら、組織的にアカウントへの侵入を試みることができます。

SecurityScorecard はまた、米国内のコマンド アンド コントロール サーバーを特定しました。これらのサーバーは、4 時間にわたって 130,000 台の感染デバイスと通信していました。これらのデバイスは、おそらく大規模なグローバル ネットワークの一部であり、攻撃者が攻撃活動を迅速に拡大することを可能にします。

ボットネットの背後にいるのは誰ですか?

この攻撃は中国の脅威グループと関連があるとされているが、その帰属については現在も調査が続いている。しかし、このボットネットは、これまでに特定された中国のサイバースパイ活動と共通する特徴を持っている。

注目すべきことに、マイクロソフトは 2024 年 10 月に、複数の中国の脅威アクターが大規模なパスワード スプレー攻撃から盗んだ資格情報を使用していると報告しました。この攻撃は、CovertNetwork-1658、Xlogin、Quad7 として知られる侵害されたネットワークに関連していました。

組織を保護する方法

このボットネットは Microsoft 365 アカウントを積極的にターゲットにしているため、組織はセキュリティを強化するために直ちに対策を講じる必要があります。

• ご使用の環境で基本認証がまだ有効になっている場合は、無効にします。
• 特に非対話型サインインの場合、すべてのユーザーに対してモダン認証と多要素認証を有効にします。
• 非対話型のサインイン ログを定期的に監視して、異常なログイン パターンがないか確認します。
• 厳格なパスワード ポリシーを実装し、定期的な変更を実施することで、強力で一意のパスワードを使用してパスワード スプレーを防止します。
• ハッカーが資格情報を収集するために使用するインフォスティーラー マルウェアから保護するために、エンドポイント セキュリティ ソリューションを導入します。
• 可能であれば、地理的な場所に基づいてログインを制限し、Microsoft 365 アカウントへのアクセスを地理的に制限します。

最後に

Microsoft 365 を標的とした 13 万台のデバイス ボットネットは、パスワード ベースの攻撃が今日でも依然として最大のサイバー セキュリティ脅威の 1 つであることを強く思い起こさせます。多くの組織が依然として時代遅れの認証方法に依存しているため、攻撃者はこれらの弱点を悪用し続けています。

Microsoft 365 環境を積極的に保護し、異常なアクティビティを監視し、強力な認証ポリシーを適用することで、企業はこの非常に高度な攻撃の被害に遭うリスクを軽減できます。