Last Updated on 2024-09-18 06:05 by admin
【ダイジェスト】
ロシアのAPT(Advanced Persistent Threat)グループ「Midnight Blizzard」が、昨年11月にマイクロソフトの上級幹部のメールアカウントからデータを抜き取る前に、ヒューレット・パッカード・エンタープライズ(HPE)のメール環境に侵入し、データを盗んでいたことが明らかになりました。
HPEは1月19日のSEC(米国証券取引委員会)へのForm 8-Kの提出により、2023年5月にMidnight Blizzardによってクラウドホスト型のメール環境が侵害されたことを公表しました。攻撃者は、サイバーセキュリティ、マーケティング、ビジネスなどの部門に属する少数の個人のアカウントからデータを抜き取ったとされています。HPEは12月12日にこの侵入を知り、外部のサイバーセキュリティ専門家と協力して、攻撃の全範囲と正確なタイムラインを特定する作業を進めています。
マイクロソフトも同様の侵害を先週公表しました。1月12日にMidnight Blizzardによる攻撃を検出し、11月にシステムが侵害されて以来、サイバーセキュリティ、法務などの機能を持つ上級幹部と従業員のメールアカウントから情報が抜き取られていたことが調査で明らかになりました。Midnight Blizzardは、パスワードスプレー攻撃を使用してマイクロソフトのレガシーな非生産テストアカウントを侵害し、そのアカウントの権限を利用して興味のあるメールアカウントにアクセスしました。マイクロソフトは、この事件を受けて、特にレガシーシステムに関連するセキュリティプロトコルの見直しを誓っています。
Midnight Blizzardは、米国政府によってロシアの外国情報サービス(SVR)に正式に関連付けられている脅威アクターです。2021年4月、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)、FBI、国家安全保障局は、この脅威アクターがSolarWindsのビルド環境に侵入し、多くの顧客がシステムにダウンロードした正規のソフトウェアアップデートにマルウェアを植え付けたと特定しました。SolarWindsは2020年12月に侵害を検出し発表しましたが、実際の侵害は2019年9月に発生し、最初の探索活動は2019年1月に始まっていました。
Midnight Blizzardは2009年頃から活動しており、初期のキャンペーンは政治情報収集に焦点を当てていました。特に注目されるのは、2015年の民主党全国委員会(DNC)への攻撃や、2019年のEU政府、NATOシンクタンクなどへの一連の攻撃です。しかし、CISAが2023年12月のアドバイザリーで指摘したように、2018年以降、特にSolarWinds事件の後、Midnight Blizzard/SVRは技術企業にも重点を置いています。そのキャンペーンには、「低くて遅い」パスワードスプレー攻撃や、特定の広く使用されている製品の脆弱性に対する攻撃が含まれています。
CISAは、最近の数ヶ月でMidnight Blizzardが積極的に狙っている脆弱性として、JetBrains TeamCityの認証バイパス脆弱性CVE-2023-42793をリストに追加しました。TeamCityサーバーへのアクセスは、ソースコード、署名証明書へのアクセス、ソフトウェアのコンパイルや展開プロセスへの改ざんを脅威アクターに提供する可能性があります。CISAは、この脆弱性を利用することで、「SVRは特にソフトウェア開発者のネットワークを妨害することによって、被害者へのアクセスから利益を得ることができる」と警告しています。
セキュリティ研究のシニアディレクターであるYossi Rachman氏は、「現在、サイバーセキュリティ業界の専門家や思想家たちは、Midnight Blizzardがこれらの標的攻撃を行う動機について様々な意見を出しています。現時点では、彼らがロシア支援の攻撃グループやロシアのサイバー攻撃努力全体に関する情報を収集するための情報収集ミッションにある可能性が高いです」と述べています。
【ニュース解説】
ロシアの高度な持続的脅威(APT)グループである「Midnight Blizzard」が、昨年11月にマイクロソフトの幹部のメールアカウントから情報を盗み出す事件が発生する数ヶ月前に、ヒューレット・パッカード・エンタープライズ(HPE)のクラウドホスト型メール環境に侵入し、データを抜き取っていたことが判明しました。この情報は、HPEが米国証券取引委員会(SEC)への報告書で明らかにしたものです。
HPEによると、攻撃者はサイバーセキュリティ、マーケティング、ビジネスなどの部門に属する少数の個人のアカウントからデータを盗んだとのことです。HPEはこの侵入を2023年12月に発見し、それ以来、攻撃の全範囲と正確なタイムラインを特定するために外部のサイバーセキュリティ専門家と協力しています。
マイクロソフトも同様の侵害を経験しており、Midnight Blizzardがパスワードスプレー攻撃を利用して非生産テストアカウントを侵害し、その後、重要なメールアカウントにアクセスして情報を抜き取っていたことが判明しています。マイクロソフトはセキュリティプロトコルの見直しを行うことを表明しています。
Midnight Blizzardは、米国政府によってロシアの外国情報サービス(SVR)に関連付けられていることが知られており、過去にはSolarWindsのソフトウェアアップデートにマルウェアを仕込むなどの大規模なサイバー攻撃を行っています。このグループは、政治情報収集を目的とした攻撃から技術企業への攻撃に焦点を移しており、特定の脆弱性を利用した「低くて遅い」パスワードスプレー攻撃などを行っています。
最近では、JetBrains TeamCityの認証バイパス脆弱性CVE-2023-42793を積極的に狙っており、この脆弱性を利用することでソフトウェア開発者のネットワークを妨害することができるとCISAは警告しています。これにより、ソースコードや署名証明書へのアクセス、ソフトウェアのコンパイルや展開プロセスへの改ざんが可能になります。
このような攻撃は、企業のセキュリティ体制に大きな影響を与える可能性があります。特に、サイバーセキュリティ、法務、ビジネスなどの重要な部門が標的にされることで、企業の機密情報や戦略が漏洩するリスクが高まります。また、攻撃者が企業のシステムに長期間潜伏することで、将来的な攻撃の足がかりを築くことも懸念されます。
このニュースは、企業がレガシーシステムやクラウドサービスを含む全体的なセキュリティ対策を見直し、強化する必要があることを示しています。また、サイバーセキュリティの専門家や政府機関が、APTグループの動向を注視し、適切な警告や対策を提供することの重要性を強調しています。企業は、セキュリティインシデントが発生した際に迅速かつ効果的に対応できるよう、インシデント対応計画を整備し、従業員のセキュリティ意識を高めるための継続的な教育と訓練を行うことが求められています。
from 'Midnight Blizzard' Breached HPE Email Months Before Microsoft Hack.