本ブログは、Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard の抄訳版です。最新の情報は原文を参照してください。
このブログでは、2024 年 1 月 12 日にマイクロソフトのセキュリティチームによって検出された国家間の攻撃に関する最新情報を提供します。お知らせしたとおり、1 月 19 日、セキュリティチームはマイクロソフト社内のメールシステムに対する攻撃を検知し、直ちに対応プロセスを開始しました。マイクロソフト脅威インテリジェンスの調査では、脅威アクターはロシアの国家支援を受けた攻撃者 である Midnight Blizzard (NOBELIUM) であると判明しました。
その時点でのお知らせどおり、調査は進行中であり、詳細については適宜お知らせします。
Midnight Blizzard が、マイクロソフトの企業メールシステムから最初に盗み出した情報を使用して、不正アクセスをした、または不正アクセスを試みているという証拠を、ここ数週の間に確認しました。これには、マイクロソフトのソースコードリポジトリや内部システムの一部へのアクセスも含まれています。現時点で、マイクロソフトがホストするお客様向けのシステムが侵害されたという証拠は確認していません。
Midnight Blizzard が、発見したさまざまなタイプのシークレットの利用を試みていることは明らかです。これらのシークレットの一部は、お客様とマイクロソフト間で電子メールにて共有していました。抽出された電子メールからシークレットが発見されるのにともなって、お客様に連絡を取り、軽減策を講じる支援をしています。 Midnight Blizzard は、2024年 1 月時点ですでに大量のスワードスプレー攻撃をしています。さらに、2 月には攻撃の一部の量を10倍に増やしました。
Midnight Blizzard の継続的な攻撃は、脅威アクターのリソース、調整、および焦点の持続的かつ重要なコミットメントによって特徴付けられます。取得した情報を利用して、攻撃するエリアの全体像を蓄積し、攻撃を強化している可能性があります。これは、特に高度な国家による攻撃という点で、前例のない世界的な脅威の状況が広範に広がっていることを反映しています。
マイクロソフト全体で、セキュリティへの投資、企業間の調整と動員を増やし、この高度で持続的な脅威から身を守り、セキュリティで環境を保護し、強固にする能力を強化しました。マイクロソフトは、これまでも、そしてこれからも、セキュリティ管理、検出、監視を強化していきます。
Midnight Blizzard の活動に関する積極的な調査は進行中であり、調査の結果は今後も進展します。私たちは、引き続き学びを共有します。