Microsoftは9月22日(米国時間)、「Malicious OAuth applications used to compromise email servers and spread spam - Microsoft Security Blog」において、悪意のあるOAuthアプリケーションが侵害されたクラウドテナント上に展開され、Exchangeサーバの制御やスパムの拡散に使用されている攻撃に使われていると伝えた。

Malicious OAuth applications used to compromise email servers and spread spam - Microsoft Security Blog

Microsoftのセキュリティ研究者の調査によって、多要素認証(MFA: Multi-Factor Authentication)が有効になっていない高リスクのアカウントに対してクレデンシャルスタッフィング攻撃が行われ、安全ではない管理者アカウントが侵害されてExchangeサーバに侵入されていたことが明らかとなった。クラウドテナントへの不正アクセスにより、脅威者は悪意のあるOAuthアプリケーションを作成し、メールサーバに悪意のある受信コネクタを追加することができたと説明されている。

さらに悪意のある受信コネクタを使用して、ターゲットのドメインから発信されたように見せかけたスパムメールを送信していたことも確認されている。このスパムメールは、懸賞を装い定期有料購読にサインアップさせることを目的としたフィッシング詐欺キャンペーンとして展開されていたという。

今回発見された攻撃については、シングルテナントのアプリケーションネットワークが攻撃を実行するためのIDプラットフォームとして使われており、侵害されたネットワークの判明とともにすぐに関連するすべてのアプリケーションが停止され、推奨される改善策が実施されている。

Microsoftは、OAuthアプリケーションの悪用が増加していると指摘。特にOAuthアプリケーションの悪意ある使用方法として同意フィッシング攻撃を挙げている。同意フィッシング攻撃はユーザーをだまして悪意のあるOAuthアプリケーションに許可を与えさせ、正当なクラウドサービス(メールサーバ、ファイルストレージ、管理APIなど)にアクセスさせることを目的としている。国家を含むより多くの脅威アクターが、コマンド&コントロール(C2: Command and Control) 通信、バックドア、フィッシング、リダイレクトなどさまざまな悪意のある目的のためにOAuthアプリケーションを使用していると警告している。