Storm-2949がMicrosoft 365のパスワードリセットを悪用してクラウドデータを抜き取る

Storm-2949がMicrosoft 365のパスワードリセットを悪用してクラウドデータを抜き取る

Microsoftは、Storm-2949として追跡される脅威アクターが、Microsoft 365とAzure環境を運用する組織を標的に実行した巧妙な多段階キャンペーンの詳細を公開しました。このMicrosoft 365に対するクラウド認証情報攻撃で特に際立っているのは、その侵入口です。多くの管理者が日常的で低リスクと見なす機能、具体的にはセルフサービスパスワードリセット（SSPR）です。内部に侵入した攻撃者は、検知される前にOneDrive、SharePoint、SQLデータベースを静かに移動し、価値の高いデータを抽出しました。

このキャンペーンは、クラウドプラットフォームの安全性は、その周りに構築された設定と前提条件の分だけしか確保されないことを痛感させるものです。

Storm-2949がセルフサービスパスワードリセットを武器化した方法

セルフサービスパスワードリセットは広く導入されている利便性機能です。従業員がIT部門に連絡せずにアカウントアクセスを回復できるようにし、ヘルプデスクの負担とダウンタイムを削減します。ほとんどのセキュリティチームはこれを無害なものとして扱っています。Storm-2949はこれをドアとして扱いました。

SSPR機能を悪用することで、この脅威アクターは、ブルートフォースによるパスワード解読やマルウェアの展開を必要とせずに、ユーザーIDを侵害することができました。この攻撃は、SSPRの設定や検証方法の弱点を突き、攻撃者が正当なアカウントの制御を乗っ取ることを可能にしました。認証情報がリセットされアクセスが確立されると、攻撃者は通常のユーザー活動に紛れ込み、行動ベースの検出を著しく困難にしました。

この手法は、エンドポイントセキュリティツールが捕捉するように設計されたシグナルの多くを回避するため注目に値します。悪意のある実行可能ファイルも、不審なダウンロードも、明らかな侵入の痕跡もありません。攻撃者は単に有効なユーザーとしてログインするだけです。

どのようなデータが露出したのか — そしてクラウドストレージが高価値の標的である理由

初期アクセスを獲得した後、Storm-2949は明確な目的を持ってMicrosoft 365とAzureのエコシステム内を移動しました。それは可能な限り多くの価値の高いデータを抽出することです。ほとんどの企業環境でドキュメント保存やコラボレーションに使用されるOneDriveとSharePointが主な標的でした。Azureインフラストラクチャに接続されたSQLデータベースにもアクセスされ、データが流出させられました。

現代の組織がこれらのサービスに保存するデータの規模を考えると、それらが高度な脅威アクターにとって明らかな焦点となるのは当然です。ビジネス契約書、財務記録、顧客データ、内部コミュニケーション、独自の研究資料などは、しばしばSharePointやOneDriveに置かれています。Azureに接続されたSQLデータベースには、収益化や後続の攻撃に利用できる構造化された運用データが含まれていることがよくあります。

このパターンは、他の大規模な認証情報収集インシデントで観察されたものと酷似しています。ShinyHuntersによるビッシング攻撃でCharter Communicationsの4000万件の記録が流出した事件も、同様の論理をたどっていました。正当に見えるアクセスを獲得し、防御側が対応する前にできるだけ多くのデータを抽出するというものです。クラウドストレージは巨大な価値を一か所に集約するため、まさにそれが標的になる理由です。

認証情報ベースの攻撃が従来の防御をすり抜ける理由

従来のセキュリティアーキテクチャは、攻撃者が侵入してくるという考えに基づいて構築されていました。ソフトウェアの脆弱性を悪用し、マルウェアを展開し、ネットワークトラフィックを傍受するものです。境界防御、アンチウイルスツール、侵入検知システムはすべて、そうした振る舞いを捕捉するために設計されました。

認証情報ベースの攻撃は、その前提を覆します。攻撃者は侵入するのではなく、堂々と歩いて入ってくるのです。Storm-2949がSSPRを使用して正規のアカウントの制御を乗っ取ると、その後のすべての行動は、そのユーザーが通常通りに作業しているように見えます。ファイルアクセスログには認識されたIDが表示されます。ネットワークトラフィックは想定されたサービスから発信されます。異常な振る舞いを捕捉するように調整されたアラートの閾値は、決して作動しないかもしれません。

これは、ブラウザやプラットフォームの脆弱性を危険にしているのと同じリスクのカテゴリーです。Pwn2Own Berlin 2026の研究者たちは、Windows 11とEdgeのゼロデイ脆弱性を連鎖させてシステムへの深いアクセスを獲得できることを実証し、信頼されている主流のプラットフォームでさえ悪用可能な弱点を抱えていることを示しました。Storm-2949のキャンペーンは、クラウドID基盤も同種のリスクを抱えていることを示しています。

攻撃者がエクスプロイトではなくIDを通じて足場を築くと、封じ込めははるかに複雑になります。

実践的な緩和策：MFA、監査ログ、より賢いクラウド設定

Storm-2949のキャンペーンは、組織や個人が被害を減らすために取れる具体的な手段を示しています。

SSPRの設定を監査する。 セルフサービスパスワードリセットが有効になっている場合、どのような検証方法が必要かを確認してください。電話ベースの復旧オプションは傍受されたり、ソーシャルエンジニアリングされたりする可能性があります。複数の要素を要求するか、SSPRを管理対象デバイスのみに制限することで、攻撃者に対するハードルを大幅に引き上げられます。

すべてのアカウントにフィッシング耐性のあるMFAを強制する。 標準的なSMSベースの多要素認証は現実的な保護を提供しますが、SIMスワッピングや特定のソーシャルエンジニアリング手法に対して脆弱なままです。FIDO2規格を使用するハードウェアセキュリティキーやアプリベースの認証器は、悪用がはるかに困難です。

条件付きアクセスポリシーを見直す。 Microsoft 365とAzureはいずれも、デバイスのコンプライアンス、場所、リスクシグナルに基づいてログインを制限できる条件付きアクセス制御を提供します。多くの組織はこれらの機能を利用可能にしていながら、実際には使用していません。

異常なデータアクセスパターンを監視する。 攻撃者が正規の認証情報を使用していても、短時間のうちに何百ものSharePoint文書にアクセスしたり、OneDriveから大量のファイルをダウンロードしたりした場合は、アラートが発動されるべきです。Microsoft Defender for Cloud Appsまたは同等の監視ツールを設定して、一括データアクセスにフラグを立てることは、実用的な検出レイヤーです。

クラウドアクセスに対するネットワークレベルの保護を検討する。 VPNを使用して、クラウドサービスへのアクセスが既知の監視されたネットワーク経路を通じてのみ行われるように強制することで、未知の場所からの認証情報悪用に対する攻撃対象領域を制限できます。

これがあなたにとって意味すること

大企業環境を管理しているか、仕事で個人的にMicrosoft 365を使用しているかに関わらず、Storm-2949のキャンペーンは、クラウドセキュリティがデフォルトで有効になる機能ではないことを示しています。Microsoft 365やAzureのようなプラットフォームは強力なセキュリティツールを提供しますが、それらのツールが効果を発揮するには、意図的な設定と継続的な監視が必要です。

機密データをクラウドストレージに依存している組織であれば、今こそIDとアクセス制御を監査すべき時です。具体的には、誰がSSPRを有効にしているか、どのように検証されているか、MFAが一貫して強制されているかどうか、データアクセス監視がアクティブかどうかを確認してください。

プラットフォームが自動的にセキュリティを処理してくれると想定することこそが、今回のキャンペーンに悪用された姿勢そのものです。数時間かけてアクセス制御を見直すコストは、OneDriveやSharePointのデータが数日から数週間にわたって密かに流出したことを発見するコストよりもはるかに小さいのです。