本ブログは、Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard の抄訳版です。最新の情報は原文を参照してください。
マイクロソフト セキュリティ チームは、2024 年 1 月 12 日に企業システムに対する国家的な攻撃を検出し、直ちに、調査、悪意のあるアクティビティの妨害、攻撃の軽減、脅威アクターのさらなるアクセスを拒否するための対応プロセスを開始しました。マイクロソフトは、本件の脅威アクターを、ロシアが支援している国家アクターであり、Nobelium としても知られている Midnight Blizzard と特定しました。先日、Secure Future Initiative (SFI) で確認された責任ある透明性への継続的な取り組みの一環として、最新の情報を共有します。
2023 年 11 月下旬より、本件の脅威アクターはパスワード スプレー攻撃を使用して、既存の非運用テスト テナント アカウントを侵害して足場を固めました。そのアカウントのアクセス許可を使用して、シニア リーダーシップ チームのメンバーやサイバー セキュリティ、法務、その他の従業員を含む、ごく少数のマイクロソフト社員のメールアカウントにアクセスし、いくつかの電子メールと添付文書を抽出しました。調査によると、彼らは当初、Midnight Blizzard 自身に関連する情報を求めてメールアカウントを標的にしていました。現在、メールにアクセスされた従業員に通知をしています。
この攻撃はマイクロソフトの製品またはサービスの脆弱性によるものではありません。現時点で、お客様の環境、本番のシステム、ソースコード、AI システムに対して脅威アクターによるアクセスを示す証拠はありません。お客様の対応が必要となった場合には、その旨をお客様に通知します。
今回の攻撃は、Midnight Blizzard のように十分なリソースを持つ国家の脅威アクターがすべての企業に与える継続的なリスクを浮き彫りにしています。
昨年末に Secure Future Initiative (SFI) を発表した際に述べたように、脅威アクターが国家からリソースと資金提供を受けている状況を考えると、私たちはセキュリティとビジネスリスクの間で取るべきバランスを変える必要があります。マイクロソフトにとって、本インシデントは、さらに迅速に行動する必要がある緊急性を浮き彫りにしました。マイクロソフトは、今後の変更によって既存のビジネス プロセスに混乱が生じるとしても、マイクロソフトが所有する古いシステムや内部のビジネスプロセスを現在のセキュリティ標準に満たすために直ちに行動します。
この行動によって、新しい状況に適応する間、混乱を引き起こす可能性があります。しかし、これは必要なステップであり、この理念を受け入れるために取るべきステップの最初の一歩にすぎません。
マイクロソフトは継続して調査をしており、調査結果に基づいて追加の措置を講じ、法執行機関および適切な規制当局と引き続き協力します。私たちは、コミュニティが脅威アクターに関する私たちの経験と観察から利益を得ることができるよう、より多くの情報と学びを共有します。今後、必要に応じて、追加の詳細な情報をお知らせします。