概要

セキュリティ企業Huntressは、Azure CLIを標的とした大規模なパスワードスプレー攻撃「LSHIYキャンペーン」を報告した。攻撃は2026年6月12日〜26日にかけて実施され、8,100万回以上のログイン試行が記録された。その結果、64組織にわたる78アカウントが侵害されている。攻撃のソースはIPv6アドレス範囲2a0a:d683::/32(LSHIY LLC、AS32167)であり、米国および中国(香港・武漢)のインフラと結びついていることが確認されている。

技術的な手法:廃止されたROPCフローを悪用

攻撃者が利用した手法の核心は、OAuth 2.0の旧来の認証フロー「ROPC(Resource Owner Password Credentials)」の悪用にある。このフローはMFAやSSOをサポートしておらず、通常Conditional Access Policy(CAP)が適用される認可エンドポイントを経由しないため、組織が設定したセキュリティポリシーを迂回できる。Azure CLIがこのROPCフローに対応していたことが、攻撃の突破口となった。

侵害のペースは段階的に加速しており、6月12〜21日は1日あたり2〜4アカウントにとどまっていたが、6月22日には一気に30アカウントが侵害された。Huntressの顧客全体では、クレデンシャルスプレー攻撃が過去6か月で155倍以上に急増し、保護テナント1件あたり月間1,964件の失敗試行が記録されたという。

MFAが機能しなかった理由

多要素認証(MFA)を導入していた組織でも被害が発生したのは、設定の不備によるものだ。侵害が確認された組織に共通していた問題点として、以下が挙げられる。

  • MFAポリシーが「全クラウドアプリ」ではなく特定アプリケーションのみに限定されていた
  • MFAが管理者グループにしか適用されていなかった
  • 信頼されていない場所からのアクセスにのみMFAを要求していた
  • 8組織はMFAポリシー自体が存在していなかった

ROPCフローはCAPが通常チェックされる認可エンドポイントをバイパスするため、たとえMFAが設定されていても、ポリシーのスコープが不完全であれば防御を突破される可能性がある。

推奨される対策

Huntressは企業に対して以下の対策を早急に講じるよう勧告している。まず、MFAポリシーは「全ユーザー・全クラウドアプリ・全クライアントアプリタイプ」を対象として適用すること。次に、Azure CLIへのアクセスを管理者以外のユーザーに制限すること。そして、ROPCを含むレガシー認証プロトコルへの依存を排除することが重要だ。今回の攻撃は、MFAを導入しているだけでは不十分であり、その設定範囲と認証フローのカバレッジを継続的に見直す必要性を改めて示している。