米政府機関に中国ハッカーの不正アクセス　クラウドのセキュリティリスクにも警鐘

アイデンティティプロバイダの署名鍵の重要性

　Microsoftと米国政府の報告から約10日後、この事件を調べていたセキュリティ企業Wizは詳細な調査結果を公表。「トークン偽造の影響を受けるのは、Outlook.comとExchange Onlineのみではない」と報告した。

　ほかにも、Sharepoint、Teams、OneDriveなどの個人アカウント認証機能をサポートするAzure Active Directoryアプリケーション、“Microsoftアカウントでログインする”をサポートする顧客のアプリケーション、一定条件のマルチテナントアプリケーションが影響を受けるという。事態は当初の想像以上だったわけだ。

　また、攻撃者のIOC（Indicator of Compromise）を公開するなどMicrosoftが講じた緩和策についても、トークンの検証プロセスに関連した重要なフィールドのログがないため、「偽造されたトークンがアプリケーションに使用されたことを、顧客が検出するのは困難だろう」とした。

　Wizが強調するのは、Microsoftのようなアイデンティティプロバイダの署名鍵の重要性だ。「（httpsなどで用いられる暗号化通信のプロトコルである）TLS鍵よりもはるかに強力」であり、署名鍵を入手した者は電子メール、ファイルサービス、クラウドのアカウントなどにすぐにアクセスできる、と続ける。署名鍵は“万能の合鍵”として利用されるのだ。

　今回はMicrosoftが攻撃されたが、Google、Facebook、Oktaなど主要なアイデンティティの署名鍵が流出した場合、その影響は想像できない規模になると予想する。

　一方、MicrosoftはWizの主張に反発しており、Cybersecurity Diveによると、「主張の多くは憶測に基づいており、証拠に基づくものではない」と反論している。