Malwarebytesは1月29日(米国時間)、「Hewlett Packard Enterprise also searched by Cozy Bear|Malwarebytes」において、ロシアの国家支援を受けるとみられる脅威グループ「Midnight Blizzard(別名:Nobelium、Cozy Bear)」がHewlett Packard Enterpriseの電子メール環境に不正アクセスしたと報じた。
HPEが受けたと見られる侵害の概要
Hewlett Packard Enterpriseが米国証券取引委員会(SEC: U.S. Securities and Exchange Commission)に提出した報告書によると、攻撃者は2023年5月以降、Hewlett Packard Enterpriseのサイバーセキュリティ、Go-to-market、ビジネスセグメントなどに関連した個人が所有するメールボックスのごく一部に不正アクセスし、データを窃取した可能性があるという(参考:「hpe-20240119」)。
Malwarebytesによると、Hewlett Packard EnterpriseはオンラインメディアのCRNに対し、影響を受けたメールシステムはクラウドのMicrosoft Office 365環境であり、攻撃者は侵害されたアカウントを介してメール環境に不正アクセスしたという。また、窃取されたデータはメールボックスに含まれる情報に限定されており、同社の経営や財務状況、業績に重大な影響を与える可能性は低いと指摘している。
対策
サイバーセキュリティベンダーのThreatLockerは、この件について「フィッシング攻撃やトークンの窃取が(不正アクセスの)原因である可能性が高い」と述べている。また、CRNに対し、この攻撃を防止するためには多要素認証(MFA: Multi-Factor Authentication)と厳格なエンドポイント制御が必要と述べたとされる。
Microsoft Office 365はデフォルトで多要素認証が有効になっていないため、デフォルトの設定で使っているとフィッシング攻撃により侵害される可能性がある。このような攻撃からシステムを保護するために、多要素認証やエンドポイント検出応答(EDR: Endpoint Detection and Response)の導入が望まれている。