概要
Check Point Researchは、イランに関連する脅威アクターが2026年3月に中東地域のMicrosoft 365環境を対象としたパスワードスプレー攻撃を行ったと報告しています。このキャンペーンは、イスラエルやアラブ首長国連邦(UAE)などの組織を主な標的としており、イスラエルでは300以上の組織が影響を受けたとされています。
攻撃の詳細
このパスワードスプレー攻撃は、特定の地域に限定されたものではなく、ヨーロッパやアメリカ合衆国、イギリス、サウジアラビアでも一部のターゲットが確認されています。特にイスラエルでは、緊急対応やインフラ管理を行う自治体が主な標的となりました。
攻撃手法
脅威アクターは、一般的に使用される弱いパスワードを使用して複数のアカウントへのログインを試みる「パスワードスプレー」技術を利用しました。また、地理的制限を回避するために、イスラエルで地図上に位置付けられたVPN IPアドレス(WindscribeやNordVPN)を使用していました。
攻撃の目的
このキャンペーンは、物理的な軍事作戦と連携して情報収集を行うことを意図している可能性があります。具体的には、自治体システムへのアクセスを通じて、被害状況や緊急対応、復旧活動に関する情報をリアルタイムで入手しようとしていると考えられます。
防御策
- ログ監視:異常なログインパターンを検出するために、サインインログを定期的にチェックする。
- 地理的制限の設定:Torや他の匿名化サービスからのアクセスをブロックする。
- MFAの強制:すべてのユーザーに対して多要素認証(MFA)を適用し、特に管理者アカウントには厳格に実施する。
- パスワードポリシーの強化:定期的なパスワード更新と強力なパスワード規則を導入する。
- 監査ログの有効化:不審な活動の調査に備えて、監査ログを保持する。