しかし、これほど広範なアクセスを可能にするこのような機密性の高いキーが、そもそもどのようにして盗まれることができたのかは、依然として不明です。 『WIRED』はマイクロソフトに問い合わせたが、同社はそれ以上のコメントを拒否した。
Microsoftから詳細は明らかにされていないが、セキュリティ企業Astrixで研究を主導するTal Skverer氏によると、盗難がどのように起こったかについての1つの理論は、トークン署名キーは実際にはMicrosoftからまったく盗まれなかったというものだ。年には、Google のクラウドにおけるトークンのセキュリティ問題が明らかになりました。 Outlook の古いセットアップでは、サービスは Microsoft のクラウドではなく、顧客が所有するサーバーでホストおよび管理されていました。 これにより、ハッカーが顧客のネットワーク上の「オンプレミス」セットアップの 1 つからキーを盗むことが可能になった可能性があります。
その後、ハッカーがエンタープライズ トークンに署名するためのキーを使用して、攻撃を受けた 25 の組織すべてが共有する Outlook クラウド インスタンスにアクセスできるバグを悪用できた可能性があるとスクヴェラー氏は示唆しています。 「私の推測では、彼らはこれらの組織のいずれかに属する単一のサーバーから開始し、この検証エラーを悪用してクラウドに移行し、その後、ファイルを共有しているさらに多くの組織にアクセスできるようになったのではないかと考えています」とスクヴェラー氏は言います。同じクラウド Outlook インスタンスです。」
しかし、この理論では、エンタープライズ ネットワーク内の Microsoft サービスのオンプレミス サーバーが、Microsoft が消費者アカウント トークンの署名用として説明しているキーを使用する理由を説明できません。 また、米国政府機関を含む非常に多くの組織が 1 つの Outlook クラウド インスタンスを共有する理由も説明されていません。
もう 1 つの理論は、はるかに厄介な理論ですが、ハッカーが使用したトークン署名キーは Microsoft 自身のネットワークから盗まれたか、会社を騙してハッカーに新しいキーを発行させることで入手した、またはマイクロソフトの間違いを悪用して何らかの方法で複製されたというものです。それを作成した暗号化プロセス。 Microsoft が説明しているトークン検証のバグと組み合わせると、このバグは、消費者または企業の Outlook クラウド アカウントのトークン (Microsoft のクラウドの広範囲、またはすべてのスケルトン キー) に署名するために使用された可能性があることを意味する可能性があります。
著名な Web セキュリティ研究者である Robert “RSnake” Hansen 氏は、Microsoft の投稿内の「キー管理システム」のセキュリティ向上に関する一文を読んで、Microsoft の「認証局」、つまりトークンに暗号署名するためのキーを生成する独自のシステムが、 —中国のスパイによってどういうわけかハッキングされた。 「Microsoft の認証局のインフラストラクチャまたは構成に欠陥があり、既存の証明書が侵害されたか、新しい証明書が作成された可能性が非常に高いです」とハンセン氏は言います。
もしハッカーが実際に署名キーを盗み、その署名キーを使って一般消費者のアカウント間で広範にトークンを偽造できた場合、また Microsoft のトークン検証問題のおかげで企業アカウントでも同様に偽造できた場合、被害者の数は Microsoft が把握している 25 の組織よりもはるかに多くなる可能性があります。公に説明されている、とウィリアムズ氏は警告する。
企業の被害者を特定するために、Microsoft はどのトークンが消費者向けのキーで署名されているかを探すことができます。 しかし、そのキーは消費者向けのトークンの生成にも使用された可能性があり、トークンが予期されたキーで署名されている可能性があることを考えると、それを特定するのははるかに困難になる可能性があります。 「消費者側では、どのようにしてそれを知ることができますか?」 ウィリアムズは尋ねる。 「マイクロソフトはそれについて議論していません。私たちはもっと多くの透明性を期待すべきだと思います。」
マイクロソフトによる最新の中国スパイ行為の暴露は、国家支援のハッカーがトークンを悪用して標的を突破したり、アクセスを拡大したりするのは初めてではない。 悪名高いSolar Windsサプライチェーン攻撃を実行したロシアのハッカーは、被害者のマシンからMicrosoft Outlookトークンを盗み、ネットワーク上の他の場所で使用され、機密システムへの攻撃範囲を維持および拡大することができました。
IT 管理者にとって、これらのインシデント、特に今回のインシデントは、クラウドへの移行による現実のトレードオフの一部を示唆しています。 マイクロソフトとサイバーセキュリティ業界のほとんどは、セキュリティを中小企業ではなく大手テクノロジー企業の手に委ねるため、クラウドベースのシステムへの移行を長年推奨してきた。 しかし、集中型システムには独自の脆弱性が存在し、重大な影響をもたらす可能性があります。
「あなたは王国への鍵をマイクロソフトに引き渡すことになります」とウィリアムズ氏は言う。 「あなたの組織が今それに満足していないのであれば、良い選択肢はありません。」