2023年7月にMicrosoftの消費者署名キーが中国系ハッカー集団に盗まれましたが、その漏洩(ろうえい)元がWindowsのクラッシュダンプだったことがMicrosoftの調査で明らかになりました。

Results of Major Technical Investigations for Storm-0558 Key Acquisition | MSRC Blog | Microsoft Security Response Center
https://msrc.microsoft.com/blog/2023/09/results-of-major-technical-investigations-for-storm-0558-key-acquisition/

Hackers stole Microsoft signing key from Windows crash dump
https://www.bleepingcomputer.com/news/microsoft/hackers-stole-microsoft-signing-key-from-windows-crash-dump/

OSが異常終了すると、何が原因なのかを追求できるようにその時点のメモリ内の情報がファイルに書き出されます。このファイルは「クラッシュダンプ」と呼ばれ、通常、機密情報は含まれません。

しかし、2021年4月に発生した消費者署名システムのクラッシュでは、競合状態が発生してクラッシュダンプ内に機密情報であるMicrosoftの消費者署名キーが流出。このとき、クラッシュダンプ内に鍵の情報が含まれているのを、システムは検出できていなかったとのこと。

当該クラッシュダンプは、標準的なデバッグプロセスにのっとり、隔離された運用ネットワークからネット接続された企業ネットワーク内のデバッグ環境に移されました。Microsoftの資格情報スキャンの手法では、この段階で署名キーを検出することができませんでした。

Microsoftのログ保持ポリシーにより、「Storm-0558」のコードネームが与えられている中国系ハッカーがどのように署名キーを入手したのかという具体的な証拠を含むログは存在しませんが、Storm-0558が侵害したMicrosoftエンジニアの法人アカウントは、署名キー入りのクラッシュダンプを含むデバッグ環境にアクセス可能だったことから、このタイミングでキーが取得された可能性が高いとみられています。

Microsoftはこの件を受けて、以下の改善を行っています。

・署名キーがクラッシュダンプに存在できるようになる競合状態の特定、解決
・クラッシュダンプに鍵情報が誤って含まれることの防止、検出、および対応強化
・資格情報スキャンを強化し、デバッグ環境に存在する署名キーを適切に検出可能に
・認証ライブラリでのキースコープの検証を自動化するための拡張ライブラリをリリース、関連ドキュメントを明確に