多要素認証: サイバーアクターの頭痛の種が新たな攻撃手法のきっかけに

近年、2要素認証や多要素認証（MFA）は、個人や企業のカウントを攻撃から守るための手段として注目されています。企業のアカウントからソーシャルメディアのプロフィールまで、ほとんどのアカウントでMFAを有効にするオプションが提供されており、多くのアカウントではMFAを必須としています。

つまり、攻撃者にとっては、資格情報の窃取やパスワードの総当たり攻撃だけではもはや十分ではなく、被害者の多要素アクセストークンやコードにアクセスできなければ、被害者のアカウントにアクセスすることはできないということです。MFAの使用が増加しているということは、攻撃者はMFAをバイパスする方法を見つけたり、MFAによって停滞する可能性のある攻撃の実行を避けたりする努力をしなければならないということです。SolarWinds、Microsoft Exchange Server ProxyLogon、Pulse Secure VPNの脆弱性など、最近注目を集めている攻撃を見てみると、これらの攻撃はすべて、攻撃者がMFAを克服しなければならないというハードルを回避するためのものです。 

MFAが広く普及したのはここ数年のことですが、MFAのバイパスを試みる攻撃の出現は2011年にまでさかのぼります。この攻撃ではRSA Security社がハッキングを受け、当時MFAに使用されていた4000万ものSecurIDトークンの交換を余儀なくされました。

しかし、最近では、MFAをバイパスしたり、バイパスする必要性をまったくなくしてしまおうとする攻撃が目立ってきており、このブログではそのうちの5つを紹介します。

Pulse Secure VPNの最近のゼロデイ脆弱性（CVE-2021-22893）

2021年4月20日、Pulse Secure社は、同社の人気VPN製品にゼロデイのリモートコード実行の脆弱性があることを警告するアドバイザリを公開しました。同日、FireEye社は、この脆弱性（CVE-2021-22893が、同社がUNC2630として追跡している中国関連のAPTグループによって悪用されていることを詳細に記したブログを公開しました。FireEye社は、このグループが米国の防衛産業基盤（DIB）を標的とした攻撃にこの脆弱性を利用しようとしていると述べています。 

この新しい脆弱性は、Pulse Secureの既知の多数の脆弱性とともに、これらの攻撃における最初の感染経路として悪用されました。FireEye社によると、Pulse Secureの脆弱性を悪用しようとする試みには、少なくとも12のマルウェアファミリーが関連しているとのことです。このマルウェアは、3人の脅威アクターに関連しており、米国と欧州の組織で攻撃が行われました。

FireEye社が分析したUNC2630の活動では、VPNソフトウェアのこの脆弱性の悪用に成功すると、攻撃者が悪意のあるコードで共有オブジェクトをトロイの木馬化して資格情報を記録し、多要素認証要件を含む認証フローをバイパスできることが実証されました。FireEye社は、この活動を「SlowPulse」として追跡していると述べています。また、攻撃者は、永続性の維持、Webシェルの注入、ファイルの変更も可能でした。

昨年は、パンデミックの影響でリモートワークが増加したため、企業ネットワークへのログインにVPNを使用するケースが増え、VPNがハッカーの人気ターゲットとなりました。もし攻撃者がこのような脆弱性を利用してVPNソフトウェアを侵害することができれば、それ以上の多要素認証を取得する必要はありません。  

このバグに対するパッチが5月3日（月）に発行されましたので、Pulse Secureをお使いの方は速やかにパッチを適用してください。

シマンテックはこの脆弱性に関連すると思われるファイルをブロックするために、Hacktool.WebshellとHacktool.Atriumをリリースしました。

Microsoft Exchange Server（ProxyLogon）への攻撃

3月2日、Microsoftは、攻撃者によって積極的に悪用されているMicrosoft Exchange Serverの4つのゼロデイ脆弱性に対する緊急パッチをリリースしました。当時Microsoftは、これらの脆弱性はHafniumというAPTグループ（シマンテックはこのグループをAntと呼んで追跡しています）によって標的型攻撃に悪用されたと発表していました。しかし、まもなく複数の脅威アクターがそれらの脆弱性を悪用していたことが明らかになり、脆弱性の存在が世間に知られると悪用するアクターの数が急速に増えていきました。

そのうち2つの脆弱性（CVE-2021-26855およびCVE-2021-27065）と、これらの脆弱性を連鎖的に利用して悪用するための手法には“ProxyLogon”という名前が付けられていました。これらの脆弱性の悪用に成功すると、認証されていない攻撃者が脆弱なExchange Server上で任意のコードを実行することが可能となり、システムへの永続的なアクセス、サーバー上のファイルやメールボックスへのアクセス、システムに保存されている資格情報へのアクセスが可能となります。また、悪用に成功すると、攻撃者は脆弱なネットワークにおける信頼性とアイデンティティを侵害することができます。これにより、攻撃者は感染したネットワークへの広範なアクセスが可能となり、多要素認証の手順を回避することなく、被害組織から機密性の高い情報を盗み出すことができます。また、この脆弱性を利用して、被害者の受信ボックスから電子メールを盗み出す行為が確認されています。

シマンテックがどのようにしてこれらの攻撃からお客様を守るかについては、次のブログ記事（英語）をお読みください。How Symantec Stops Microsoft Exchange Server Attacks（Microsoft Exchange Serverへの攻撃に対するシマンテックの防御方法）

SolarWinds

SolarWindsの攻撃は2020年12月に発覚しましたが、その後はほとんど話題に上ることはなく、最近では米国がSolarWindsの情報漏えいやその他多くのサイバー攻撃への対応として、ロシアに対して制裁を科すことを発表しました。米政府関係者の声明によると、ロシア対外情報庁（SVR）（APT29、Cozy Bear、The Dukesとしても知られる）がSolarWindsの攻撃に関与していることに「高い確信」を持っているとのことです。

SolarWindsのインシデントは2020年3月頃に始まったとされており、2020年3月から12月の間にアップデートをダウンロードしたSolarWinds Orionソフトウェアのユーザーが第1段階のマルウェアであるBackdoor.Sunburstに感染したと考えられています。被害者への最初の感染は無差別に行われましたが、最初の危険なアップデートをダウンロードした人のうち、ネットワーク上で追加の悪意のある活動が見られたのはごく少数でした。 

SolarWindsの攻撃者の動機は、常に情報の窃盗であると考えられており、その中でも電子メールが特に関心の高い分野であると思われます。また、攻撃者たちは、攻撃の過程でMFAをバイパスするためのさまざまな技術を使用していたようです。あるインシデントにおいて、セキュリティ企業のVeloxityは、攻撃者がDuoが提供する2要素認証をバイパスするためにまったく新しい手法を使用しているのを確認したと述べていますが、同じ技術であれば、潜在的に危険な環境に保存されている統合秘密鍵を必要とするどのプロバイダのMFAもパイパスできる可能性があります。感染したネットワーク上で管理者権限を得たハッカーは、その権限を利用して、企業が様々なネットワークサービスのアカウント認証に使用しているOutlook Web App（OWA）を実行しているサーバーから、「akey」として知られるDuoの秘密鍵を盗みました。その後、ハッカーは「akey」を使用してCookieを生成し、正しいユーザー名とパスワードを持つ人がアカウントを引き継ぐ際に必要となるCookieを用意しました。

別のレポートで、FireEye社は攻撃者が使用していたとみられる手法について説明しています。FireEye社が観測した手法には次のようなものがありました。

• 攻撃者がActive Directory Federation Services（AD FS）のトークン署名証明書を盗み、それを使用して任意のユーザーのトークンを偽造することで、攻撃者が任意のユーザーとして、そのユーザーのパスワードやMFA を必要とせずに連携リソースプロバイダー（Microsoft 365など）を認証できるようになります。
• Azure ADの信頼できるドメインを変更または追加して、攻撃者が制御する新しい連携IDプロバイダー（IdP）を追加します。これにより、攻撃者は任意のユーザーのトークンを偽造することができます。
• Microsoft 365に同期され、管理者などの高い特権を持つディレクトリロールが割り当てられているオンプレミスのユーザーアカウントの資格情報が侵害されます。
• 既存のMicrosoft 365アプリケーションに不正な資格情報を追加して乗っ取り、MFAをバイパスしながら、電子メールの読み取り、任意のユーザーとしての電子メールの送信、ユーザーのカレンダーへのアクセスなど、アプリケーションに割り当てられている正規の権限を使用することができます。

攻撃者は、被害者の電子メールアカウントにアクセスするにはMFAをバイパスするか完全に回避する方法が必要であることを知っています。これは、SolarWindsの攻撃者のような国の支援を受けたアクターを含む技術力の高い多くの攻撃者の目標であると思われます。

SolarWindsの調査結果や、シマンテックがどのようにお客様を保護しているかについては、専用のブログページをお読みください。

イランの反体制派を狙ったハッカーが2要素認証テキストコードの窃盗を試みる

2020年9月、Check Point社はハッキンググループRampant Kittenに関する調査結果を発表しました。このハッキンググループは、テキストで送信される2要素認証（2FA）コードを傍受して盗むことができる新たなAndroidマルウェアを開発したとしています。テキストによる2FAは、アプリやトークンを使用した場合に比べて安全性が著しく低いことが知られています。SIMスワッピング（悪意のあるアクターが被害者の電話番号にアクセスする）などの手口でコードを傍受される可能性があるため、多くのセキュリティ専門家は、他の選択肢がある場合、組織や個人はこの種の2FAを使用すべきではないと考えています。

Check Point社によると、Rampant Kittenの偵察作戦はイランの反体制派や少数派を対象に、6年も前から行われていたとのことです。このマルウェアは、イラン国民がスウェーデンの運転免許取得の支援を表向きの目的としたアプリの中に隠されていました。しかし、この不正なアプリは、連絡先情報、古いテキストメッセージ、マイクを使った録音を入手するだけでなく、Googleが2要素認証プロセスの一環として使用するプレフィックスの「G-」文字列を含むSMSメッセージも見つけ出すように設計されていました。攻撃者は、被害者の資格情報を入手するためにフィッシングメッセージを被害者に送り付け、入手した資格情報で2FAコードにアクセスして、被害者のアカウントにアクセスすることができるようになっていました。また、このマルウェアは、すべてのテキストメッセージを攻撃者に転送するため、テキストメッセージによる2FAを使用している他のアプリやサービスでも、2FAを回避することができます。

中国の攻撃者が2FAのバイパスを試みる

2019年、FOX-IT社はブログで、2FAをバイパスして攻撃を行っている中国の国家支援グループ「APT20」について紹介しました。FOX-IT社は、この攻撃者の活動を2年間にわたって監視しており、「living off the land（環境寄生）手法を使って被害者のネットワーク内で存在を隠蔽し、諜報目的でデータを吸い上げていた」と述べています。FOX-IT社は、攻撃者が2FAで保護されているVPNアカウントに接続していた証拠を発見しました。研究者は、攻撃者がハッキングされたシステムからRSA SecurIDソフトウェアトークンを盗み出し、それを使って有効なワンタイムコードを生成し、2FAを自由にバイパスしたのではないかと考えています。  

当時、FOX-IT社はこう説明しています。「ソフトウェアトークンは特定のシステム向けに生成されますが、このシステム固有の値は、攻撃者が被害者のシステムにアクセスできれば簡単に取得できます。」

結局のところ、アクターが実際に被害者のシステム固有の値を入手する手間をかける必要はありませんでした。この特定の値はSecurIDトークンシードをインポートする際にのみチェックされ、実際の2要素トークンの生成に使用されるシードとは関係がないからです。要するに、アクターは、実際には、インポートされたソフトトークンがこのシステム用に生成されたかどうかを検証するチェックにパッチを当てるだけでよく、システム固有の値をわざわざ盗む必要はありません。

「つまり、2要素認証コードを利用するためにアクターがするべきことは、RSA SecurIDソフトウェアトークンを盗んで1つの命令にパッチを当てることだけです。それだけで有効なトークンが生成されます。」

憂慮すべき傾向

以前から、一部のAPTグループや高い技術力を持つアクターがMFAをバイパスできる場合があることは知られていましたが、最近の巧妙な攻撃では、この種の保護機能をバイパスすることが主な目的の一つになっているように見受けられ、単一のソリューションでは不十分であることを思い知らされます。

幸い、これらの攻撃ではMFAが機能していることを示しています。攻撃者はMFAで保護された組織に侵入するための別の手段を探すのに多大な労力を必要とします。組織は、保護を強化するために、次のような追加措置を講じる必要があります。

• ログインイベントとActive Directoryイベントの監視
• MFAを必要としないサービスとアカウントの見直しと削減
• 発見された脆弱性に対するパッチの最新版の提供
• MFAがバイパスされたり、オンサイトの秘密が漏えいしたりする可能性のある脅威モデルの検討
• 単純な2FAにとどまらない、ゼロトラストアーキテクチャの拡張