B
今週中
Microsoft Azure CLIを標的とした大規模なパスワードスプレー攻撃
📌 一言でいうと
Microsoft Azure CLIを標的とした大規模なパスワードスプレー攻撃が確認されました。攻撃者はROPC(Resource Owner Password Credentials)という古いOAuthフローを悪用し、条件付きアクセスポリシーを回避して少なくとも78のアカウントを侵害しました。攻撃は特定の業界ではなく、漏洩したパスワードリストに基づいた無差別なものであることが判明しています。
🔍該当判定
- Azure CLI(コマンドラインツール)を社内で利用している
- Microsoftアカウントのログインに「多要素認証(MFA)」を設定していないユーザーがいる
- Azureの認証設定で、古い認証方式である「ROPC (Resource Owner Password Credentials)」を許可したままにしている
- 使い回しのパスワードや、単純なパスワードをMicrosoftアカウントに使用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. ROPC (Resource Owner Password Credentials) フローを無効化し、モダン認証への移行を検討してください。 2. 強力なパスワードポリシーの適用と、多要素認証 (MFA) の強制を徹底してください。 3. Azure CLI経由の不審なログイン試行がないかログを確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Azure CLIにおけるパスワードスプレー攻撃への対応について
お疲れさまです。Azure CLIを標的とした大規模な認証攻撃に関する情報共有です。
■ 概要
攻撃者がROPC (Resource Owner Password Credentials) という古いOAuthフローを悪用し、条件付きアクセスを回避してアカウントを侵害するパスワードスプレー攻撃が観測されています。8,100万回以上の試行が行われ、多数のアカウントが侵害されています。
■ 影響範囲
- Microsoft Azure CLIを利用している環境
- ROPCフローが有効な構成
■ 対応手順
1. Azure AD (Microsoft Entra ID) において、ROPCフローの利用を制限または無効化してください。
2. 条件付きアクセスポリシーが適切に機能しているか再確認し、レガシー認証の遮断を徹底してください。
3. ログから IPv6 範囲 2a0a:d683::/32 からの不審なアクセスがないか調査してください。
■ 参考情報
- Huntress Report
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Azure CLIを標的とした大規模な認証攻撃に関する情報共有です。
■ 概要
攻撃者がROPC (Resource Owner Password Credentials) という古いOAuthフローを悪用し、条件付きアクセスを回避してアカウントを侵害するパスワードスプレー攻撃が観測されています。8,100万回以上の試行が行われ、多数のアカウントが侵害されています。
■ 影響範囲
- Microsoft Azure CLIを利用している環境
- ROPCフローが有効な構成
■ 対応手順
1. Azure AD (Microsoft Entra ID) において、ROPCフローの利用を制限または無効化してください。
2. 条件付きアクセスポリシーが適切に機能しているか再確認し、レガシー認証の遮断を徹底してください。
3. ログから IPv6 範囲 2a0a:d683::/32 からの不審なアクセスがないか調査してください。
■ 参考情報
- Huntress Report
対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Password Spray Attack targeting Azure CLI via ROPC
Dear IT/Security Team,
We are sharing information regarding a large-scale password spray campaign targeting the Microsoft Azure CLI.
■ Overview
Threat actors are leveraging the deprecated Resource Owner Password Credentials (ROPC) OAuth flow to bypass Conditional Access policies. Over 81 million login attempts have been recorded, resulting in the compromise of at least 78 accounts.
■ Scope
- Environments utilizing Microsoft Azure CLI
- Configurations where ROPC flow is enabled
■ Action Items
1. Disable or restrict the use of the ROPC flow within Microsoft Entra ID.
2. Ensure that legacy authentication is blocked and Conditional Access policies are strictly enforced.
3. Monitor logs for suspicious activity originating from the IPv6 range 2a0a:d683::/32.
■ Reference
- Huntress Report
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a large-scale password spray campaign targeting the Microsoft Azure CLI.
■ Overview
Threat actors are leveraging the deprecated Resource Owner Password Credentials (ROPC) OAuth flow to bypass Conditional Access policies. Over 81 million login attempts have been recorded, resulting in the compromise of at least 78 accounts.
■ Scope
- Environments utilizing Microsoft Azure CLI
- Configurations where ROPC flow is enabled
■ Action Items
1. Disable or restrict the use of the ROPC flow within Microsoft Entra ID.
2. Ensure that legacy authentication is blocked and Conditional Access policies are strictly enforced.
3. Monitor logs for suspicious activity originating from the IPv6 range 2a0a:d683::/32.
■ Reference
- Huntress Report
Priority: High
Deadline: Immediate