13万台以上のデバイスがボットネットに感染し、Microsoft 365を標的に

SecurityScorecardは130,000台以上のデバイスがボットネットに感染し、Microsoft 365（M365）アカウントを標的としたパスワードスプレー攻撃が行われていることが明らかになりました。

このサイバー攻撃は、非対話型ログイン（Non-Interactive Sign-In）を悪用し、多要素認証(MFA)の回避を可能にする手法を採用しているため、組織のセキュリティチームが検知しにくい特性を持ちます。

攻撃の手口と影響

今回のサイバー攻撃者は、パスワードスプレー攻撃と呼ばれる手法を活用しています。

攻撃者は、既存のパスワードリストを使い、短時間で大量のMicrosoft 365アカウントに対してログインを試みます。通常のログイン試行では失敗が繰り返されるとアカウントロックのリスクが高まりますが、パスワードスプレー攻撃では特定のアカウントに短時間で過剰な試行を行わず、ロックを回避しながら侵害を成功させる仕組みです。

特に、非対話型ログイン（自動ログイン）を悪用することで、一般的なログイン監視システムを回避しながら攻撃が実施されています。

通常、企業のセキュリティチームはインタラクティブなログインの試行（ユーザーが手動で行う認証操作）を監視対象としていますが、非対話型ログインは監視対象から漏れるケースが多く、攻撃が検知されにくいという問題があります。

また、MFAを設定していても、非対話型ログインではMFAが適用されない設定が一部の環境で存在するため、これを悪用することで攻撃者はアカウント侵害を成功させています。

攻撃は中国から？

攻撃のインフラを分析すると、攻撃者は米国のホスティングプロバイダ内に設置したC2（コマンド＆コントロール）サーバーを6つ使用し、これらを経由してボットネットを制御していることがわかりました。

さらに、攻撃者はUCLOUD（香港）や中国関連のCDS Global Cloudなどのプロキシサービスを活用し、トラフィックを匿名化しながら攻撃を継続しています。

C2サーバーと接続されたデバイスの数は130,000台を超えており、組織規模を問わず広範囲に被害が広がる可能性があります。

直接的な証拠はありませんが、「中国に関連する可能性が高いが、確定的ではない」という分析結果となっています。