【概要】

項目	内容
攻撃組織	Storm-0558
被害組織	25組織
攻撃方法	(1) Microsoftアカウント(MSA)の署名鍵をクラッシュダンプから窃取 (2) 盗んだ鍵を悪用して、認証トークンを偽造(Azure AD, Microsoftアカウント(MSA)) (3) 偽造したトークンを使い、ユーザーの電子メールにアクセス
攻撃期間	2023/05/15 ～
発覚日	2023/06/16
発覚原因	Office 365メールの異常な動き
攻撃サービス	[確定] Outlook Web Access(OWA)、Outlook.com [可能性] SharePoint, Teams, OneDrive, 複数のAzure Active Directoryアプリケーション (Wizが主張)

■被害者

役職	名前	備考
駐中国大使	ニコラス・バーンズ
米国務次官補	ダニエル・クリテンブリンク	東アジア・太平洋担当
商務長官	レモンド	近く訪中予定

【最新情報】

◆「侵害は防げた」　Microsoftのポカに米政府が激怒した理由 (ITmedia, 2024/04/05 07:30)
https://www.itmedia.co.jp/enterprise/articles/2404/05/news064.html
⇒ https://malware-log.hatenablog.com/entry/2024/04/05/000000

【ニュース】

■2023年

◇2023年7月

◆Microsoft: Chinese hackers breached US govt Exchange email accounts (BleepingComputer, 2023/07/12)
[マイクロソフト 中国のハッカーが米政府のExchangeメールアカウントに侵入]
https://www.bleepingcomputer.com/news/security/microsoft-chinese-hackers-breached-us-govt-exchange-email-accounts/
⇒ https://malware-log.hatenablog.com/entry/2023/07/12/000000_5

◆米国務省などサイバー被害、中国系ハッカーがメールシステム侵入 (ロイター, 2023/07/13 01:58)
https://jp.reuters.com/article/usa-china-cyber-idJPKBN2YS1L3
⇒ https://malware-log.hatenablog.com/entry/2023/07/13/000000_12

◆米政府にハッカー攻撃　中国機関が関与か、捜査 (産経新聞, 2023/07/13 09:03)
https://www.sankei.com/article/20230713-PUXODQ6DZZMEJO5RFFVQPDMKRQ/
⇒ https://malware-log.hatenablog.com/entry/2023/07/13/000000_10

◆MS、中国ハッカー集団によるメール不正アクセスを公表--政府機関も標的 (ZDNet, 2023/07/13 10:15)
https://japan.zdnet.com/article/35206496/
⇒ https://malware-log.hatenablog.com/entry/2023/07/13/000000_1

◆中国ハッキンググループがアメリカ政府組織のメールボックスに不正アクセスしたと判明 (Gigazine, 2023/07/13 12:00)
https://gigazine.net/news/20230713-china-based-actors-attack-us-government/
⇒ https://malware-log.hatenablog.com/entry/2023/07/13/000000

◆Microsoft still unsure how hackers stole Azure AD signing key (BleepingComputer, 2023/07/14 16:18)
[マイクロソフト、ハッカーがAzure ADの署名キーを盗んだ手口はまだ不明]
https://www.bleepingcomputer.com/news/microsoft/microsoft-still-unsure-how-hackers-stole-azure-ad-signing-key/
⇒ https://malware-log.hatenablog.com/entry/2023/07/14/000000_2

◆クラウドの“神話”が崩壊する？ 中国のハッカー集団によるマイクロソフトへの不正アクセス成功の衝撃 (Wired, 2023/07/14)
https://wired.jp/article/microsoft-cloud-attack-china-hackers/
⇒ https://malware-log.hatenablog.com/entry/2023/07/14/000000_9

◆中国ハッカー、駐中国米大使や米国務省高官のメールにも侵入　米紙報道 (産経新聞, 2023/07/21 09:04)
https://www.sankei.com/article/20230721-TY2AVINPJZLKVH3P6KQ7NFMKG4/
⇒ https://malware-log.hatenablog.com/entry/2023/07/21/000000

◆中国のハッカー集団「ストーム０５５８」、米政府高官を狙い撃ちか…メール数十万通流出も (読売新聞, 2023/07/21 10:24)
https://www.yomiuri.co.jp/world/20230721-OYT1T50129/
⇒ https://malware-log.hatenablog.com/entry/2023/07/21/000000_1

◆中国の攻撃者によるMicrosoftの署名鍵の窃取、想定以上に大きな影響か (マイナビニュース, 2023/07/24 09:23)
https://news.mynavi.jp/techplus/article/20230724-2733284/
⇒ https://malware-log.hatenablog.com/entry/2023/07/24/000000

◆Microsoftの消費者署名キーが中国系ハッカー集団に盗まれる、Microsoftのクラウドサービス全般が影響下に (Gigazine, 2023/07/24 16:56)
https://gigazine.net/news/20230724-stolen-microsoft-key/
⇒ https://malware-log.hatenablog.com/entry/2023/07/24/000000_1

◇2023年8月

◆中国ハッカー攻撃で調査　米下院委、政府に説明要求　ＦＢＩも捜査 (産経新聞, 2023/08/03 06:55)
https://www.sankei.com/article/20230803-ET45JOO63FIRDPO2E6QQ26KZP4/
⇒ https://malware-log.hatenablog.com/entry/2023/08/03/000000_3

◆Microsoftの“ずさんなセキュリティ対策”に非難集中　おわびのログ機能無料提供へ (ITmedia, 2023/08/20 08:00)

Microsoftは、顧客の電子メールアカウントがハッキング被害に遭った件を受けて、クラウドセキュリティログ機能を無償で提供する予定だ。同社はこの件について連邦政府や競合他社から厳しい批判を受けている

https://www.itmedia.co.jp/enterprise/articles/2308/20/news002.html
⇒ https://malware-log.hatenablog.com/entry/2023/08/20/000000_2

◇2023年9月

◆Hackers stole Microsoft signing key from Windows crash dump (BleepingComputer, 2023/09/06 14:12)
[ハッカーがWindowsのクラッシュダンプからマイクロソフトの署名キーを盗んだ]
https://www.bleepingcomputer.com/news/microsoft/hackers-stole-microsoft-signing-key-from-windows-crash-dump/
⇒ https://malware-log.hatenablog.com/entry/2023/09/06/000000_1

◆中国系ハッカーが署名キーをWindowsのクラッシュダンプから盗み出していたことが判明 (Gigazine, 2023/09/07 13:08)
https://gigazine.net/news/20230907-msa-key-windows-crash-dump/
⇒ https://malware-log.hatenablog.com/entry/2023/09/07/000000

■2024年

◇2024年4月

◆「侵害は防げた」　Microsoftのポカに米政府が激怒した理由 (ITmedia, 2024/04/05 07:30)
https://www.itmedia.co.jp/enterprise/articles/2404/05/news064.html
⇒ https://malware-log.hatenablog.com/entry/2024/04/05/000000

【ブログ】

■2023年

◇2023年7月

◆Mitigation for China-Based Threat Actor Activity (Microsoft, 2023/07/11)
[中国を拠点とする脅威行為者の活動に対する緩和策]
https://blogs.microsoft.com/on-the-issues/2023/07/11/mitigation-china-based-threat-actor/
⇒ https://malware-log.hatenablog.com/entry/2023/07/11/000000_4

◆Analysis of Storm-0558 techniques for unauthorized email access (Microsoft, 2023/07/14)
[電子メールへの不正アクセスに対するStorm-0558テクニックの分析]
https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/
⇒ https://malware-log.hatenablog.com/entry/2023/07/14/000000_10

◆Storm-0558による複数の問題を悪用したMicrosoft クラウドサービスへの不正アクセスについてまとめてみた (piyolog, 2023/07/17)
https://piyolog.hatenadiary.jp/entry/2023/07/17/021720
⇒ https://malware-log.hatenablog.com/entry/2023/07/17/000000

◆Thanks Storm-0558! Microsoft to expand default access to cloud logs (Help Net Security, 2023/07/20)
[Storm-0558に感謝する！マイクロソフト、クラウドログへのデフォルトアクセスを拡大]
https://www.helpnetsecurity.com/2023/07/20/microsoft-cloud-security-logs/
⇒ https://malware-log.hatenablog.com/entry/2023/07/20/000000

◇2023年9月

◆Results of Major Technical Investigations for Storm-0558 Key Acquisition (Microsoft, 2023/09/06)
[Storm-0558の主要技術調査結果 Key Acquisition]
https://msrc.microsoft.com/blog/2023/09/results-of-major-technical-investigations-for-storm-0558-key-acquisition/
⇒ https://malware-log.hatenablog.com/entry/2023/09/06/000000

【検索】

■Google

google: Storm-0558
google:news: Storm-0558
google: site:virustotal.com Storm-0558
google: site:github.com Storm-0558

■Bing

https://www.bing.com/search?q=Storm-0558
https://www.bing.com/news/search?q=Storm-0558

■Twitter

https://twitter.com/search?q=%23Storm-0558
https://twitter.com/hashtag/Storm-0558

【関連まとめ記事】

◆全体まとめ
　◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT