Infostand海外ITトピックス

米政府機関に中国ハッカーの不正アクセス クラウドのセキュリティリスクにも警鐘

アイデンティティプロバイダの署名鍵の重要性

 Microsoftと米国政府の報告から約10日後、この事件を調べていたセキュリティ企業Wizは詳細な調査結果を公表。「トークン偽造の影響を受けるのは、Outlook.comとExchange Onlineのみではない」と報告した。

 ほかにも、Sharepoint、Teams、OneDriveなどの個人アカウント認証機能をサポートするAzure Active Directoryアプリケーション、“Microsoftアカウントでログインする”をサポートする顧客のアプリケーション、一定条件のマルチテナントアプリケーションが影響を受けるという。事態は当初の想像以上だったわけだ。

 また、攻撃者のIOC(Indicator of Compromise)を公開するなどMicrosoftが講じた緩和策についても、トークンの検証プロセスに関連した重要なフィールドのログがないため、「偽造されたトークンがアプリケーションに使用されたことを、顧客が検出するのは困難だろう」とした。

 Wizが強調するのは、Microsoftのようなアイデンティティプロバイダの署名鍵の重要性だ。「(httpsなどで用いられる暗号化通信のプロトコルである)TLS鍵よりもはるかに強力」であり、署名鍵を入手した者は電子メール、ファイルサービス、クラウドのアカウントなどにすぐにアクセスできる、と続ける。署名鍵は“万能の合鍵”として利用されるのだ。

 今回はMicrosoftが攻撃されたが、Google、Facebook、Oktaなど主要なアイデンティティの署名鍵が流出した場合、その影響は想像できない規模になると予想する。

 一方、MicrosoftはWizの主張に反発しており、Cybersecurity Diveによると、「主張の多くは憶測に基づいており、証拠に基づくものではない」と反論している。