Office365のシステムアカウントを狙う「KnockKnock」攻撃
マイクロソフトが提供するクラウドサービス「Office365」に対して、最近「KnockKnock」攻撃と呼ばれる新たな手法がSkyhign Networks社によって発見された。この攻撃の特徴は「人が利用するユーザアカウントでは無く、「システム連携等に利用されるシステムアカウント」に対して攻撃をしかけてくるというもの。
スカイハイによれば、システムアカウントは他サービスとの連携を行うことを目的に利用されているため、以下の4つの点で攻撃者に魅力的だという。
1.ニ要素認証等の高度なセキュリティ対策が実施されていないことが多い
2.わかりやすい「単純なパスワード」であることが多い
3.ユーザ利用のアカウントと異なり、監査されていないことが多い
4.システム管理者権限等、ハイレベルな権限を割り当てられていることが多い
様々な手段で監査等のセキュリティ対策が実施されているユーザ利用のアカウントと異なり、ハイレベルな権限が与えられているわりには、セキュリティが脆弱なシステムアカウントが攻撃対象になっているというわけだ。この攻撃が成功すると、攻撃者はバックドアシステムアカウントをノックしてOffice365テナント全体に侵入しようとする。例えば、乗っ取った企業のドメインからフィッシングサイトへの誘導メール等が送信される。通常こういったメールは架空のドメインから送付されるので、怪しいメールだと認識することも可能だが本攻撃で乗っ取っられている場合には正式なドメインから送付されているので、受信者は本物と誤認してしまう。
スカイハイによれば、「KnockKnock」攻撃は、2017年5月頃から継続的に実行されだした可能性があるという。標的になっているのは製造業や金融サービス、医療分野、消費財、米国の公共部門の組織だ。日本企業に対する攻撃も確認されている。
企業のシステム管理者としては、システムアカウントのパスワードを強化したり、監査対象にする等の対策を取る必要があるだろう。