Microsoftは1月19日(米国時間)、「Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard|MSRC Blog|Microsoft Security Response Center」において、ロシアの支援を受けているとみられる脅威アクター「Midnight Blizzard(別名:Nobelium)」の攻撃を受け、Microsoftの企業メールアカウントが不正アクセスを受けたと発表した。同社は1月12日(米国時間)、攻撃を検知して即座に対応プロセスを起動、脅威アクタの活動を調査・妨害し、被害の軽減および追加の不正アクセスを防止したとしている。
侵害経路と影響
Microsoftの報告によると、2023年11月下旬頃、脅威アクターはパスワードスプレー攻撃を使用して運用中ではないテストテナントのアカウントを侵害。脅威アクターは、このアカウントを足場としてシニアリーダシップチームのメンバーをはじめとした従業員を含むMicrosoft企業メールアカウントのごく一部に不正アクセスを実行し、そのメールや添付ファイルの一部を漏洩させたという。
Microsoftは調査の結果、脅威アクターはMidnight Blizzard自身に関連する情報を得られそうなメールアカウントを初期目標としていたことが判明している。また、この攻撃はMicrosoft製品やサービスの脆弱性を原因とするものではないとして、既存の製品、サービスへの影響はないことを強調している。
これまでのところ、顧客の環境、本番システム、ソースコード、人工知能(AI: Artificial Intelligence)システムへの不正アクセスは確認されておらず、今後の調査で対応が必要になった場合はその時点で顧客に通知するとしている。
今後の対応
Microsoftはこの攻撃の影響を受けたとみられる従業員に対し、通知を実施中と説明している。また、今回のような国家支援を受ける脅威アクターからの攻撃は、より迅速な対応が急務であることを浮き彫りにしているとして対策を表明。
Microsoftが保有するレガシーシステムやビジネスプロセスに現行のセキュリティ基準を適用するとしている。この変更によりレガシーシステムやビジネスプロセスを混乱させる可能性があったとしても直ちに行動を起こすと述べている。
Microsoftは現在も同事案について調査を継続中。調査結果に基づいた追加の処置を実施し、必要に応じて情報をコミュニティと共有するとしている。