マイクロソフトは、広く知られるようになったSolarWinds社のサイバー攻撃に関する調査を続けており、攻撃者の意図についてより多くの情報が明らかになってきています。

マイクロソフトが「Solorigate」（サイバーセキュリティ企業FireEyeでは「Sunburst」）と名付けたこの攻撃では、特に米国**セクターの著名な標的が多数犠牲になりました。

マイクロソフト、「ソーラーウインド」の最終ターゲット疑惑を明らかに

米国財務省、国土安全保障省、国務省、国防総省、エネルギー省、商務省の職員が被害に遭いましたが、マイクロソフトのセキュリティブログによると、実際の攻撃対象はクラウドストレージ資産であったとのことです。

関連記事：マイクロソフト、SolarWinds攻撃の根源であるSunburstマルウェアを阻止

攻撃者は、悪意のあるSolarWinds Orionのアップデートを介して、ターゲットネットワークにアクセスすることができました。以前、SolarWindsを破損させ、ソフトウェアの更新に悪意のあるファイル**を組み込んだ結果、更新プログラムのインストール時に攻撃者はネットワークへのフルアクセスを許可されました。

内部に入ってしまえば、"署名されたアプリケーションやバイナリは公開されており、信頼できると考えられるため、攻撃者が発見されるリスクはほとんどない "という。

発見されるリスクが低いため、攻撃者はターゲットを選ぶことができるのです。バックドアをインストールした後、攻撃者は、「価値の低い」ネットワークをフォールバックの選択肢として残し、ネットワークの探索を続けることの価値をじっくりと見極めることができるのです。

関連記事：マイクロソフト、SolarWindsの侵害を確認、主力製品に影響か

マイクロソフトは、攻撃者の最終的な動機は、"バックドア・アクセスを使って認証情報を盗み、特権を昇格させ、有効なSAMLトークンを作成する能力を得るために横方向に移動すること "であったと考えています。

SAML（Security Assertion Markup Language）トークンは、セキュリティキーである。攻撃者がSAML署名キー（マスターキーなど）を盗むことができれば、作成したセキュリティ・トークンを検証し、この自己検証キーを使ってクラウドストレージサービスや電子メールサーバーにアクセスすることができる。

不正なSAMLトークンを作成できるため、攻撃者は侵害されたデバイスから発信することなく、またオンプレミスの持続性にとらわれずに機密データにアクセスすることができます。既存のOAuthアプリ***やサービスプリンシパルを経由したAPIアクセスを悪用することで、通常の活動パターン、特にアプリやサービスプリンシパルに溶け込もうとすることができます。

****ビューローは、本人確認の悪用に同意します。

2020年12月、米国家安全保障局（NSA）は、「認証機構の悪用検出」（PDF）という公式サイバーセキュリティアドバイザリーを発表しました。(PDF)をご覧ください。この勧告は、攻撃者がSAMLトークンを盗んで新しい署名キーを作成することを望んでいるというマイクロソフトの分析を強く支持しています。

この行為者は、オンプレミス環境での特権的なアクセスを利用して、組織がクラウドとオンプレミスのリソースへのアクセスを許可するために使用している仕組みを破壊したり、クラウドのリソースを管理する能力を持つ管理者の資格情報を侵害したりします。

マイクロソフトのセキュリティ・ブログや米国***局のサイバー・セキュリティ・アドバイザーには、攻撃から守るためのネットワーク・セキュリティの強化や、ネットワーク管理者が侵入の兆候を発見する方法についての情報が掲載されています。