Microsoftがロシア政府支援のハッキンググループ「Midnight Blizzard」からサイバー攻撃を受けたと発表

Microsoftのセキュリティチームが、2024年1月12日に同社のシステムに対する国家規模の攻撃を検出したと発表しました。Microsoftは直ちに対応プロセスを開始し、悪意のある活動を阻止し、攻撃を軽減し、脅威アクターのさらなるアクセスを拒絶することに成功したと説明しています。Microsoftは同社のシステムにサイバー攻撃を仕掛けたのは、「Nobelium」として知られるロシア政府による支援を受けるハッキンググループ「Midnight Blizzard」であると特定しました。

Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard | MSRC Blog | Microsoft Security Response Center
https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/

Microsoft executive emails hacked by Russian intelligence group
https://www.cnbc.com/2024/01/19/microsoft-executive-emails-hacked-by-russian-intelligence-group-company-says.html

2023年11月下旬頃から、脅威アクターがパスワードスプレー攻撃を駆使して非本番テスト用テナントアカウントを侵害し、Microsoftのシステムをハッキングする足がかりを獲得。その後、侵害したアカウントの認証情報を悪用し、Microsoftのシニアリーダーシップチームのメンバーやサイバーセキュリティ、法務、その他の部門に属する従業員のメールアカウントの「ごく一部」にアクセスし、メールや添付ファイルを流出させたとMicrosoftは説明しています。

Microsoftの幹部のメールアドレスが脅威アクターによりハッキングされたことは、Microsoftが規制当局に提出した書類の中でも説明されています。

Inline XBRL Viewer
https://www.sec.gov/ix?doc=/Archives/edgar/data/789019/000119312524011295/d708866d8k.htm

Microsoftは同社従業員のメールアカウントをハッキングした脅威アクターが、ロシア政府の支援を受けているハッキンググループのMidnight Blizzardであると特定しています。

Microsoftによると、Midnight Blizzardは自分たちに関する情報を収集するためにMicrosoft社員のメールアドレスをハッキングしていたことが明らかになっています。Microsoftはメールアドレスがハッキングされた従業員に対し、通知を行っているとのことです。

Midnight Blizzardによる攻撃は、Microsoft製品やサービスの脆弱性が原因ではないとMicrosoftは説明しています。また、記事作成時点ではMidnight Blizzardが顧客環境・実稼働システム・ソースコード・AIシステムなどにアクセスした形跡も確認されていません。そのため、Microsoftは「何らかの対応が必要な場合は、お客様に通知します」と説明しています。

MicrosoftはMidnight Blizzardによるサイバー攻撃について、「今回の攻撃はMidnight Blizzardのような豊富なリソースを備えた国家支援の脅威アクターが、すべての組織に継続的なリスクをもたらしていることを浮き彫りにしています」と述べました。

さらに、「国家により資源と資金の提供を受けている脅威アクターの存在を考慮すると、セキュリティおよびビジネス上のリスクで取るべきバランスは変化しつつあります。Microsoftにとって、今回の事件はより迅速な対応が急務であることを浮き彫りにしました。Microsoftが所有するレガシーシステムや社内のビジネスプロセスに現行のセキュリティ標準を適用するため、たとえその変更が既存のビジネスプロセスを混乱させる可能性がある場合でも、直ちに行動を起こします」と述べ、古いシステムやビジネスプロセスにも最先端のセキュリティ標準を採用することの重要性を強調しています。

なお、Microsoftは今回のサイバー攻撃について調査を継続しており、調査結果に基づいて追加の措置を講じると共に、引き続き法執行機関および適切な規制当局と協力していくことを表明しています。加えて、Microsoftはコミュニティが脅威アクターに関する経験と観察の両方から利益を得られるように、より多くの情報を共有していくとしています。

アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)のサイバーセキュリティ担当エグゼクティブアシスタントディレクターであるエリック・ゴールドスタイン氏は、CNBCに対して「この事件に関するさらなる洞察を得て、その影響を理解するためにMicrosoftと緊密に連携し、他の潜在的な被害者の保護に貢献できるよう尽力します。Microsoftの発表に記載されているように、現時点ではMicrosoftの顧客環境や製品への影響は確認されていません」という声明を出しています。

なお、Midnight BlizzardはSolarWindsが提供するネットワーク監視ソフトウェア「Orion Platform」を用いるアメリカの財務省・国務省・国家核安全保障局などの省庁、MicrosoftやCiscoなどの大企業に対して、大規模なサイバー攻撃を仕掛けたことで知られています。Midnight BlizzardによるOrion Platformを利用したサイバー攻撃は、「過去10年で最も深刻なサイバー攻撃の1つ」とも評されています。

Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは？ - GIGAZINE

なお、Microsoftは過去にもMidnight Blizzardからサイバー攻撃を受けており、この時も使用された手法は「パスワードスプレー攻撃」でした。

Microsoftがロシア政府が支援するハッカー組織から再びサイバー攻撃を受けたと発表 - GIGAZINE

他にも、Midnight Blizzardが中小企業のテクニカルサポートのふりをしてMicrosoft Teams経由でメッセージを送信し、ユーザーにログインを認証させるというフィッシング攻撃を行っていたことも明らかになっています。

ロシアのハッキンググループが企業のテクニカルサポートを装いMicrosoft Teams経由でフィッシング攻撃を行っていたことが判明 - GIGAZINE