マイクロソフトのメールサーヴィスへの不正アクセスは、サポート部門に潜むリスクを浮き彫りにした
マイクロソフトの「Outlook.com」や「MSN」「Hotmail」といったメールアカウントの一部に対して、不正アクセスが行われていた可能性が明らかになった。サポート担当者用のアカウントの認証情報が盗まれたことが原因といい、幅広い管理者権限ゆえの影響の大きさが浮き彫りになったかたちだ。
2019・04・18 https://wired.jp/2019/04/18/microsoft-email-hack-outlook-hotmail-customer-support/
マイクロソフトが提供するメールサーヴィスで、不正アクセスが行われていた可能性が明らかになった。対象は「Outlook.com」や「MSN」「Hotmail」といったメールアカウントのユーザーで、今年1月1日から3月28日までの間にサポート用の内部システムに不正侵入があったことが原因とされる。サポート担当者用のアカウントの認証情報が盗まれ、これが侵入に使われたという。
具体的にどれだけの数のアカウントが影響を受けたかは公表されていないが、被害に遭った可能性のあるユーザーに対しては、マイクロソフトからその旨を伝えるメールが送られている。通達メールには、「侵入者はメールアドレス、メッセージの件名、ユーザーが設定したフォルダー名などのデータに自由にアクセスできる状態だった」とある。しかし、その後の報道によるともっとひどいことが起きていたようだ。
Vice Mediaが運営するニュースサイト「Motherboard」は内部情報を基に、被害はより広範囲に及ぶと指摘している。Motherboardがマイクロソフトにコメントを求めたところ、同社はこれを認めた。
そして当初の発表を訂正し、被害に遭ったアカウントのうち6パーセントについては、侵入者がメール本文や添付ファイルも見ることができる状態だったとしている。なお、マイクロソフトは先に、サポートシステムに侵入したハッカーはメール本文も読めたという「TechCrunch」の報道を否定していた。
サポートに潜む危険性
サポート業務用のアカウントから、なぜこれだけ大きな被害が出るのか不思議に思われるかもしれない。しかし、セキュリティー業界では、カスタマーサポートや社内向けITサポートのプラットフォームは潜在的に大きな危険をはらんでいるという認識が広まりつつある。
サポート業務を行う場合、適切なアドヴァイスや操作を行えるだけの権限をもったアカウントが必要になる。そして、今回のマイクロソフトの事例でも示されたように、サポート用アカウントがハッキングされると、実に危険な状況になってしまうのだ。
マイクロソフトの広報担当者は『WIRED』US版の取材に対し、「今回の問題には不正侵入に利用されたサポート用アカウントを無効にすることで対処しており、影響を受けたユーザーは一部にとどまっています」と答えた。また、「万一の場合に備えて」被害に遭ったユーザーのアカウントへの監視を強化している。ただ、攻撃の規模や被害を受けたユーザーの数についてはコメントできないという。
iPhoneのロックが解除された事例も
マイクロソフトが詳細を明かさない限り、攻撃の目的を推測することは難しい。だが、ハッカーにとって電子メールアドレスは非常に価値のある標的となる。なぜなら、メールにアクセスできれば、そこを足がかりに別のプラットフォームのアカウントのパスワードなどをリセットすることができるからだ。
Motherboardは、実際にiCloud経由で「iPhone」のアクティベーションロックが勝手に解除された例が報告されていると報じている。マイクロソフトのサポートシステムへの不正侵入は3カ月近くも放置されていたわけだが、攻撃を仕掛けた何者かが特定の個人を狙った小規模の犯罪を繰り返していたのか、それとも大規模な詐欺行為を働いていたのかなどは、なにひとつわかっていない。
マイクロソフトから顧客への通知メールには、「弊社のサポート業務用アカウントの認証情報が不正利用され、外部の個人がお客様の電子メールアカウントに不正にアクセスできていたことが確認されました」と記されている。つまり内部の関係者の仕業ではないというのだ。そうだとすれば、謎はさらに深まる。
多要素認証が採用されていなかった?
法人向けにコンピューターセキュリティーを手がけるBit Discoveryの最高経営責任者(CEO)ジェレマイア・グロスマンは、「サポート業務では電話でのやりとりだけで状況を把握するのは難しいことがよくあります。このため、ユーザーから権限を付与してもらってパソコンにアクセスするのです」と話す。
ただ、グロスマンは2000年代前半に米ヤフーのセキュリティー部門で2年ほど働いた経験があり、サポート業務用のプラットフォームには外部から簡単にアクセスすることはできないはずだと説明する。
「カスタマーサポートのシステムは通常は遠隔操作できません。内部からでないとシステムには入れないのです。今回の場合、ログインはもちろんのこと、そもそも(マイクロソフトのシステムに)どうやって接続できたのかがわかりません」
グロスマンはまた、サポート用のアカウントで多要素認証が採用されていれば、アカウントの乗っ取りを防げたかもしれないと指摘する。残念ながら、マイクロソフトはこうしたセキュリティー対策を怠っていたようだ。
まずはパスワードの変更を
サイバーセキュリティー企業Cyxteraで技術責任者を務めるデイヴ・エイテルは、「コンサルティング業務の一環として顧客企業を訪問し、そこからサポートデスクに連絡することはよくあります」と話す。
「従業員のパソコンにログインするためにサポート担当エンジニアに認証してもらいさえすれば、あとは内部のネットワークをたどって、CEOのマシンも含めてどこにでもアクセスできます。一般論ですが、サポート業務というのは大きなセキュリティーホールになる可能性を秘めているのです」
グロスマンによると、サポートシステムの安全性を保つためにまずできることは、管理者権限でのアクセスなど特権的な力をもつアカウントの数を厳格に管理することだという。同時に、ユーザーのアカウントにサポート用アカウントからのアクセスがあった場合には、すべてを記録しておく。バグの修正や規制当局にデータを提出するといったことで必要なときには、認証情報のセキュリティを高めるためにこうした措置が取られているはずだ。
なお、マイクロソフトのメールサーヴィスを利用していて、今回のハッキングの被害を受けた可能性があるとの通知メールを受け取った場合には、すぐにパスワードを変更してほしい。また、2要素認証を有効にしていないのであれば、こちらもオンに変えておこう。
ただ、こうした対策をとっても、今回のようにカスタマーサポートのシステムが不正侵入された場合にユーザーが自らを守るのは困難だ。マイクロソフトが最低限やるべきなのは、なにが起きたか、またなぜそうなったかを明確にすることだろう。
