マイクロソフト、クレムリン支援ハッカーによる内部侵入を公表

Last Updated on 2024-06-11 12:37 by 門倉 朋宏

2024年3月9日、マイクロソフトは、クレムリン支援の脅威アクターであるMidnight Blizzard（別名APT29またはCozy Bear）が、2024年1月に発覚したハックを通じて、同社の一部ソースコードリポジトリと内部システムにアクセスしたことを明らかにした。マイクロソフトは、Midnight Blizzardが当初企業の電子メールシステムから抽出した情報を使用して、許可されていないアクセスを得る、または試みることが最近数週間で確認されたと述べた。これには、同社のソースコードリポジトリと内部システムへのアクセスが含まれる。しかし、マイクロソフトがホストする顧客向けシステムが侵害された証拠は見つかっていない。

マイクロソフトは、ロシアの国家支援脅威アクターが見つけた様々な種類の秘密を活用しようとしていると述べ、これには顧客とマイクロソフト間の電子メールで共有された秘密も含まれるが、これらの秘密や侵害の規模については明らかにしていない。ただし、影響を受けた顧客には直接連絡が取られている。どのソースコードがアクセスされたかは明らかにされていない。

マイクロソフトはセキュリティ投資を増やしており、敵対者が2月にパスワードスプレー攻撃を1月に観測された「すでに大量の」攻撃と比較して10倍まで増加させたと述べた。Midnight Blizzardの継続的な攻撃は、脅威アクターのリソース、調整、および焦点の持続的な重要なコミットメントによって特徴づけられる。

マイクロソフトへの侵害は2023年11月に発生し、Midnight Blizzardはパスワードスプレー攻撃を使用して、多要素認証（MFA）が有効になっていないレガシーの非本番テストテナントアカウントに成功裏に侵入した。APT29は、盗まれた認証情報からサプライチェーン攻撃に至るまで、多様な初期アクセス方法を利用して他の組織を標的にしていると、1月下旬にマイクロソフトが明らかにした。Midnight Blizzardは、ロシアの外国情報サービス（SVR）の一部と見なされている。

【ニュース解説】

2024年3月9日、マイクロソフトは、ロシア政府の支援を受けるサイバー攻撃グループ「Midnight Blizzard」（別名APT29またはCozy Bear）によって、同社の一部ソースコードリポジトリと内部システムが不正アクセスされたことを公表しました。この攻撃は2024年1月に発覚し、マイクロソフトは被害の全容を調査中です。同社は、顧客向けシステムが侵害された証拠は現時点で見つかっていないと述べていますが、攻撃者が顧客とマイクロソフト間の電子メールで共有された「秘密」を利用しようとしていることが確認されています。

この攻撃の背景には、国家支援を受けたサイバー攻撃の脅威が高まっているという現実があります。Midnight Blizzardは、過去にも高度なサイバー攻撃を行ってきたことで知られており、今回の攻撃もその一環と見られています。攻撃者はパスワードスプレー攻撃を用いて、多要素認証（MFA）が有効になっていないアカウントを狙い、マイクロソフトの内部システムに侵入しました。

この事件は、サイバーセキュリティの重要性を改めて浮き彫りにしています。特に、多要素認証の有効化や、ソースコードリポジトリのセキュリティ強化など、基本的なセキュリティ対策の徹底が求められます。また、企業間のコミュニケーションにおいても、機密情報の取り扱いには十分な注意が必要です。

このような国家支援のサイバー攻撃は、単に一企業のセキュリティを脅かすだけでなく、国際的な緊張関係を高める要因ともなり得ます。サイバー空間での攻防は、今後も国際政治の重要な側面の一つとして注目されるでしょう。企業だけでなく、国家レベルでの対策と協力がより一層求められる時代になっています。

長期的な視点では、サイバーセキュリティの強化は技術的な進歩とともに進められるべきです。AIや機械学習などの技術を活用したセキュリティ対策の開発、国際的なサイバーセキュリティ基準の策定、そして教育と訓練の強化が重要です。サイバー攻撃の脅威に対抗するためには、技術的な対策だけでなく、人的資源の育成と国際的な協力が不可欠であることを、この事件は改めて示しています。

from Microsoft Confirms Russian Hackers Stole Source Code, Some Customer Secrets.