攻撃者はEntra IDから本番Azureへどう到達した？ Microsoftが特定した全手口：IT管理者を装いMFA突破

Microsoftは「Storm-2949」として追跡する脅威アクターの手口を公開した。Entra IDの侵害を足掛かりに、Microsoft 365からAzure本番環境まで静かにかつ横断的に侵入するその手口の全貌に迫る。

[＠IT]

　Microsoftは2026年5月18日（米国時間）、標的組織のクラウド環境を横断して大量の機密情報を窃取した攻撃グループ「Storm-2949」の活動内容をセキュリティブログで公表した。

　サイバー攻撃者は「Microsoft Entra ID」の認証情報を起点に「Microsoft 365」「Azure App Service」「Azure Key Vault」「Azure Storage」「Azure SQL」、仮想マシンに段階的に侵入し、複数日にわたりデータを持ち出した。

ID侵害からAzure本番環境に　Storm-2949のクラウド横断手口

　この攻撃では従来型マルウェアへの依存が限定的だった点が特徴だ。攻撃者は「Microsoft Azure」やMicrosoft 365に備わる正規の管理機能を悪用し、クラウド管理操作に紛れ込みながら権限拡大やデータ取得を進めた。Microsoftは、クラウド利用拡大に伴い、端末単位ではなくID管理や制御プレーンを狙う攻撃が増加していると分析している。

　攻撃は2段階に分かれている。第1段階はID侵害、第二段階はクラウド基盤侵害とされる。ID侵害ではStorm-2949がMicrosoft Entra IDのセルフサービスパスワードリセット（SSPR）機能を悪用した。攻撃者はIT部門担当者を装って利用者に接触し、「アカウント確認が必要」などと説明して多要素認証（MFA）の承認を誘導した。利用者が承認すると、攻撃者はパスワード変更や既存認証手段の削除を実施し、自身の端末に「Microsoft Authenticator」を登録した。これによって正規利用者を締め出し、永続的なアクセス権を獲得した。

　侵害後、攻撃者は「Microsoft Graph API」を利用してテナント内の利用者やアプリケーション情報を列挙した。Python製スクリプトで権限の高いアカウントやサービスプリンシパルを探索し、追加侵害の対象を選別していたという。Microsoftは、IT担当者や経営層を含む複数利用者が標的になったとしている。

　Storm-2949は、「Microsoft OneDrive」や「Microsoft SharePoint」にもアクセスした。VPN設定や遠隔接続手順を含むIT関連文書を重点的に探索し、大量にファイルを取得した。Microsoft OneDriveのWeb画面から数千件規模のファイルを一括ダウンロードした事例も確認された。侵害した利用者ごとにアクセス可能フォルダが異なるため、複数アカウントを使って情報収集範囲を拡大していた。

　その後、攻撃者はMicrosoft Azure環境に攻撃範囲を拡張した。侵害済みIDには「Azure RBAC」の高権限ロールが割り当てられており、Storm-2949は本番系Azureサブスクリプションを標的にした。Azure App Service、Key Vault、Azure Storage、SQL Databaseなど、クラウドサービスを構成する周辺リソースも調査対象になった。

　特にAzure App Serviceへの侵入では「microsoft.Web/sites/publishxml/action」操作を悪用して公開プロファイルを取得した。公開プロファイルにはFTPやKudu管理コンソールなどの認証情報が含まれる場合があり、攻撃者はこれを利用して補助的Webアプリに侵入した。最終目標だった本番Webアプリへの直接侵入には失敗したものの、関連サービスから構成情報を収集した。

　攻撃者は次にAzure Key Vaultに注目した。侵害利用者が特定Key VaultのOwner権限を持っていたため、アクセス設定を変更し、データベース接続情報や認証情報など多数のシークレットを取得した。Microsoftは、この情報を利用して最終的に本番Webアプリへ侵入し、パスワード変更後に機密データを持ち出したとみている。

　Azure SQL ServerではStorm-2949がファイアウォールルールを書き換えて外部接続を許可した後、取得済み認証情報でログインし、データを窃取した。作業後には変更したファイアウォールルールを削除し、痕跡隠蔽（いんぺい）も試みた。Azure Storageでも公開アクセス設定や共有アクセス署名（SAS）トークンを悪用し、独自Pythonスクリプトで大量データをダウンロードしていた。

　仮想マシンへの侵入では「Run Command」や「VMAccess」拡張機能が悪用された。攻撃者は新たなローカル管理者アカウントを追加し、「Azure Instance Metadata Service」からアクセストークン取得も試行した。「Microsoft Defender Antivirus」の保護機能を無効化し、遠隔操作ツール「ScreenConnect」を導入し、ホスト情報収集や認証情報探索を実施した。

　「Microsoft Defender」はエンドポイントやID、クラウド横断の異常挙動を相関分析し、複数の警告を生成した。Microsoftは、統合型の検知・対応体制が攻撃全体像の把握に有効だったと説明している。

　防御策としては、「Microsoft Defender for Endpoint」や「Microsoft Defender for Cloud」による監視強化、最小権限原則の徹底、条件付きアクセス導入、耐フィッシング型MFA適用、Azure RBAC権限監査、Key VaultやStorageのネットワーク制御強化などを挙げた。加えて、Azure VM拡張機能やApp Service公開プロファイルAPIの利用監視も推奨している。