Wizは7月21日(米国時間)、「Compromised Microsoft Key: More Impactful Than We Thought|Wiz Blog」において、中国のサイバー攻撃者により漏洩したMicrosoftアカウント(MSA)の署名鍵の影響は、当初の想定よりも広範囲にお酔いんでいる可能性があると伝えた。

  • Compromised Microsoft Key: More Impactful Than We Thought|Wiz Blog

    Compromised Microsoft Key: More Impactful Than We Thought|Wiz Blog

WizはMicrosoftと米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が2023年7月11日すぎに公表した、中国の攻撃者「Storm-0558」に起因するとされるセキュリティインシデントについて、当初の想定よりも広範囲に影響が及んでいるようであると報じている。

Microsoftによると、このインシデントはStorm-0558がMicrosoftアカウント(MSA)の署名鍵を何らかの方法で窃取し、それを悪用してAzure Active DirectoryエンタープライズおよびMicrosoftアカウント(MSA)の認証トークンを偽造することでOutlook Web Access(OWA)およびOutlook.comに不正アクセスを行ったとのことだ。

しかし今回Wizは、漏洩した署名鍵は想定されている以上に強力であり、影響は上記の2つのサービスに限定されないと指摘、「SharePoint」、「Teams」、「OneDrive」などの個人認証を必要とするアプリケーションや、「Microsoftログイン」機能をサポートする顧客のアプリケーションおよび特定の条件下でのマルチテナントアプリケーションなど、複数のAzure Active Directoryアプリケーションでアクセストークンを偽造できた可能性があると結論づけている。

Wizは、現段階では脆弱性の可能性のあったアプリケーションは数百万に上り、その大半は侵害されたかどうかを判断するログを持っていないだろうと分析している。そして、アプリケーションの所有者(開発者)が実行すべき重要なアクションとして、Azure SDKを最新バージョンに更新し、アプリケーションキャッシュが更新されていることを確認するように促している。