サイバーセキュリティおよびインフラセキュリティ庁(CISA)は、ロシアの国家後援の脅威アクターであるMidnight Blizzard、別名Cozy BearがMicrosoftの電子メールアカウントを標的にした最新のキャンペーンに対応して、4月11日に緊急指令を発行した。このグループは、Microsoftの顧客システムへのアクセスを得るために、Microsoftの企業用電子メールシステムから情報を抽出している。MicrosoftとCISAは既に、どの企業の通信がこれまでに抽出されたかを特定し、それらの企業に通知している。
Midnight Blizzard攻撃の初期アクセスベクトルは、Microsoft 365のパスワードスプレーであったと、TrellixのXDRジェネラルマネージャーであるJohn Morganが電子メールでの声明で述べている。Trellixの研究者は、今年の第1四半期だけで120以上のこの種の攻撃を観察している。
CISAの指令は当初、4月2日に連邦機関にのみ発行され、機関に対してMicrosoftの電子メールアカウントを観察し分析して影響を受けたかを判断し、侵害された資格情報をリセットし、特権Microsoft Azureアカウントを保護することを要求した。これらの要件は、Midnight Blizzardの最大の標的である連邦民間行政機関(FCEB)にのみ適用されるが、CISAは他の組織も連絡を受けている可能性があり、支援を求めるべきだと指摘している。
CISAは、直接の影響にかかわらず、すべての組織に対して、強力なパスワード、多要素認証(MFA)、保護されていない機密情報の安全でないチャネルでの共有を禁止するなど、厳格なセキュリティ対策を講じることを強く推奨している。CISAのディレクターであるJen Easterlyは、このMicrosoftの侵害はロシアの悪意あるサイバー活動の最新のものに過ぎず、緊急指令は連邦民間機関のネットワークとシステムが安全であることを確保することを目的としていると述べている。
【ニュース解説】
サイバーセキュリティおよびインフラセキュリティ庁(CISA)が、ロシアの国家後援の脅威アクターであるMidnight Blizzard、通称Cozy BearによるMicrosoftの電子メールアカウントを対象とした攻撃に対応して、緊急指令を発行したことが報告されました。この攻撃では、Microsoftの企業用電子メールシステムから情報が抽出され、Microsoftの顧客システムへのアクセスが試みられています。CISAとMicrosoftは、影響を受けた企業を特定し、通知を行っています。
この攻撃の初期アクセス方法は、Microsoft 365のパスワードスプレー、つまり多数のアカウントに対して一斉にパスワードの推測を行う手法であったとされています。この手法による攻撃は、今年の第1四半期だけで120件以上観察されており、その頻度と影響の大きさが懸念されています。
CISAは当初、連邦民間行政機関(FCEB)を対象にこの指令を発行し、Microsoftの電子メールアカウントの監視と分析、侵害された資格情報のリセット、特権Microsoft Azureアカウントの保護を要求しました。これは、Midnight Blizzardが特にFCEBを標的にしていると見られるためですが、他の組織も影響を受ける可能性があるため、広くセキュリティ対策の強化が推奨されています。
具体的には、強力なパスワードの使用、多要素認証(MFA)の導入、機密情報の安全でないチャネルでの共有禁止などが挙げられています。これらの対策は、サイバー攻撃に対する基本的な防御策として、すべての組織において非常に重要です。
この事件は、ロシアによる悪意あるサイバー活動の最新の例として注目されており、連邦民間機関のネットワークとシステムを保護するための緊急措置の必要性を示しています。サイバーセキュリティの脅威は日々進化しており、組織は常に警戒し、最新のセキュリティ対策を講じる必要があります。
このような攻撃は、企業や組織にとって重大なリスクをもたらす可能性があり、機密情報の漏洩やシステムへの不正アクセスによる損害が発生する恐れがあります。また、攻撃を受けたことによる信頼性の低下や、顧客からの信頼喪失も懸念されます。そのため、サイバーセキュリティ対策の強化は、単に技術的な問題ではなく、組織の存続と発展に直結する重要な課題と言えるでしょう。
長期的には、このような国家後援のサイバー攻撃への対応として、国際的な協力や情報共有の強化、サイバーセキュリティに関する法規制の整備などが求められます。また、個々の組織だけでなく、社会全体としてのレジリエンス(回復力)の向上が重要となります。
from CISA Issues Emergency Directive After Midnight Blizzard Microsoft Hits.
“ロシアのCozy Bear、米企業メールを標的にCISAが緊急指令発行” への1件のコメント
この報告を受けて、私たちが直面しているサイバーセキュリティの脅威の深刻さが改めて浮き彫りにされました。特に、国家後援のサイバー攻撃グループによるこのような精密かつ計画的な攻撃は、個々の企業や組織だけでなく、国家の安全保障にとっても大きなリスクをもたらします。私の勤める製薬会社でも、機密情報の保護は極めて重要であり、このニュースは我々のセキュリティ対策を再評価する良い機会を提供してくれます。
Microsoft 365のパスワードスプレー攻撃のように、比較的単純な手法でも大きな被害を引き起こす可能性があることから、組織は基本的なセキュリティ対策の徹底が必要です。特に、強力なパスワードの使用、多要素認証(MFA)の導入、機密情報の安全な管理は、サイバー攻撃への基本的な防御策として非常に重要です。私たちの会社でも、従業員に対してこれらのセキュリティ対策の重要性を継続的に教育し、実践しています。
さらに、CISAが推奨しているように、影響を受けたかどうかに関わらず、すべての組織が厳格なセキュリティ対策を講