APT29は、Mandiantが少なくとも2014年から追跡しているロシアのサイバースパイ集団で、外国情報局（SVR）がスポンサーとなっている可能性が考えられます。Mandiantは、米国（US）、およびNATOやパートナー国の関心事項を標的としたAPT29の活動を確認し続けており、複数のAPT29の攻撃活動がすでに公表されているにもかかわらず、極めて大規模な活動を続けています。2022年、APT29は、NATO諸国の外交政策に影響を与え、策定する責任を負う組織に焦点を当てました。これには、APT29が数年前、時には数カ月前に侵害した被害組織を再び攻撃対象とする事例が複数含まれています。このような粘り強さと積極性は、これらの情報に対する持続的な関心と、ロシア政府による徹底的な任務の遂行を示すものです。

Mandiantは、APT29がMicrosoft 365を標的とし、卓越した運用セキュリティと高度な戦術を実証し続けていることを確認しています。ここでは、APT29が最近の活動で使用したいくつかの新しいTTPを紹介します。

ライセンスの無効化

Microsoft 365 では、さまざまなライセンスモデルを使用して、個々のユーザーの Microsoft 365 製品群のサービスへのアクセスを制御しています。また、ライセンスによって、ログの保持やPurview Auditでのメールアイテムアクセスのログ取得など、セキュリティやコンプライアンスに関する設定を行うことができます。最も一般的なライセンスは E1、E3、E5 ですが、他にも様々なライセンスプランと粒度の細かいアドオンがあり、M365 のライセンスは複雑になっています。

攻撃者にとって、最も厄介なロギング機能の1つが、Purview Audit（旧Advanced Audit）です。この機能は、E5ライセンスと特定のアドオンで利用可能で、Mail Items Accessedの監査が可能です。Mail Items Accessedは、メールアイテムにアクセスするたびに、ユーザーエージェント文字列、タイムスタンプ、IPアドレス、およびユーザーを記録します。この監査では、Graph API、Outlook、ブラウザ、またはその他の方法の、あらゆるタイプのメールアクセスが記録されます。これは、攻撃者が特定のメールボックスにアクセスしているかどうか、またその影響の範囲を特定するための重要なログソースとなります。さらに、攻撃者が Application Impersonation ("なりすまし") や Graph API のような技術を使用している場合、特定のメールボックスへのアクセスを効果的に判断する唯一の方法となります。

Mandiant は、APT29 が侵害されたテナント内のターゲットアカウントで Purview Audit を無効化することを確認しています。いったん無効にすると、彼らはメール収集のために受信箱をターゲットにし始めます。この時点において、攻撃者がどのアカウントをいつメール収集のターゲットにしたかを確認するためのログは存在しません。APT29 のターゲットと TTP を考慮すると、Purview Audit が無効化された後、電子メールの収集が最も可能性の高い活動であると Mandiant は考えています。私たちは、ホワイトペーパー「Remediation and Hardening Strategies for Microsoft 365」を更新し、この手法に関する詳細と、検出および修復に関するアドバイスを記載しました。さらに、Azure AD Investigatorを更新し、高度な監査が無効になっているユーザーについてレポートするための新しいモジュールを追加しました。

MFAによる休眠アカウントの乗っ取り

多要素認証（MFA）は、攻撃者によるアカウント乗っ取りを阻止するために、組織が導入できる重要なツールです。ユーザーが知っている情報と持っている情報の両方を提供することを義務付けることで、企業はアカウント侵害のリスクを大幅に減らすことができます。しかし、MFAそのものは特効薬ではありません。Mandiantは以前、攻撃者がプッシュ型MFAを悪用して、ユーザーが最終的にプロンプトを受け入れ、攻撃者にアクセスを許可するまで通知でスパムを送る方法について説明しました。Microsoftは最近、この問題に対処するため、番号照合によるMFAプッシュ通知を展開すると発表しました。

Mandiantは、APT29を含む攻撃者が、Azure Active Directoryやその他のプラットフォームにおけるMFAの自己登録プロセスを利用するという別の傾向も観察し始めています。組織が初めてMFAを導入する場合、ほとんどのプラットフォームでは、ユーザーが次回のログイン時に最初のMFAデバイスを登録することができます。これは、組織がMFAを展開する際にしばしば選択されるワークフローです。Azure ADや他のプラットフォームのデフォルト構成では、MFA登録プロセスに対する追加の強制はありません。つまり、ユーザー名とパスワードを知っている人であれば、最初に登録する人である限り、どんな場所、どんなデバイスからでもアカウントにアクセスしてMFAを登録することができるのです。

ある事例では、APT29は、未知の手段で入手したメールボックスのリストに対してパスワード推測攻撃を実施しました。攻撃者は、設定されたものの、一度も使用されていないアカウントのパスワードを推測することに成功しました。このアカウントは休眠状態だったため、Azure ADはAPT29にMFAに登録するよう促しました。登録後、APT29はこのアカウントを使用して、認証とMFAにAzure ADを使用している組織のVPNインフラストラクチャにアクセスすることができました。Mandiantは、すべてのアクティブなアカウントに少なくとも1つのMFAデバイスが登録されていることを確認し、プラットフォームベンダーと協力してMFA登録プロセスに追加の検証を追加することを推奨しています。Microsoft Azure ADは最近、組織がMFAデバイスの登録などの特定のアクションに関する制御を実施できるようにするための機能を展開しました。条件付きアクセスを使用すると、組織は、内部ネットワークなどの信頼できる場所や信頼できるデバイスにのみMFAデバイスの登録を制限することができます。また、MFA を登録するために MFA を要求することもできます。このような鶏と卵のような状況に陥るのを避けるために、ヘルプデスクの担当者は、社員の入社時やMFAデバイスを紛失した際には、一時的なアクセスパスを発行することができます。このパスは、ログイン、MFAのバイパス、新しいMFAデバイスの登録に期間限定で使用することができます。

運用セキュリティに注力

APT29 は、これまで同様、卓越した運用セキュリティと検知回避における優れた能力を実証しています。APT29は、被害組織へのラストワンマイルアクセスを難解にするためのレジデンシャルプロキシに加え、Azure仮想マシンを利用していることが確認されています。APT29が使用する仮想マシンは、被害組織の外にあるAzureサブスクリプションに存在します。Mandiantは、これらのサブスクリプションがAPT29によって侵害または購入されたものであるかどうかを把握していません。信頼できるMicrosoftのIPアドレスからラストマイルでアクセスすることで、検知される可能性が低くなります。Microsoft 365自体はAzure上で動作しているため、Azure AD Sign-InおよびUnified Audit Logsにはすでに多くのMicrosoft IPアドレスが含まれており、IPアドレスが悪意のあるVMに属しているか、バックエンドのM365サービスに属しているかを迅速に判断することは難しい場合があります。Mandiantの観察によると、Microsoftが所有するIPアドレスは、Microsoftの危険なサインインや危険なユーザーのレポートによる検出のリスクを大幅に低減しているようです。

また、Mandiantは、APT29の悪意のある行為に正常な管理行為が混在していることを確認しています。例えば、最近の調査では、APT29はAzure ADのグローバル管理者アカウントへのアクセスを取得しました。このアカウントを使って、ApplicationImpersonation権限を持つサービスプリンシパルをバックドアし、テナント内の標的型メールボックスからメールの収集を開始しました。これを実現するために、APT29は新しい証明書（キークレデンシャル）をサービスプリンシパルに追加しました。追加すると、APT29はサービスプリンシパルとしてAzure ADに認証され、そのロールを使用してメールを収集できるようになりました。APT29は、バックドアされたサービスプリンシパルの表示名と一致するコモンネーム（CN）を持つ証明書を作成し、その中に紛れ込ませました。さらに、このサービスプリンシパルに新しいアプリケーションアドレスのURLを追加しました。追加されたアドレスは、悪意のある活動を促進するために必要ない、完全に正常なものであり、ベンダーによって文書化されたアプリケーションの機能に関連するものでした。この行為は、APT29の極めて高度な準備と、自分たちの行為を正規のものと見せかけようとする能力の高さを示しています。

今後の展望

APT29 は、その技術的な巧みさと徹底した運用セキュリティへの取り組みを発展させ続けています。Mandiantは、APT29が斬新かつステルス的な方法でMicrosoft 365にアクセスするための技術や戦術の開発に拍車をかけると予測しています。

※本ブログは、2022年8月18日に公開されたブログ「You Can’t Audit Me: APT29 Continues Targeting Microsoft 365」の日本語抄訳版です。