マイクロソフトは、SolarWindsのハッカーがソースコードを閲覧したが、防御機能によりそれ以上のアクセスは阻止されたと述べている。
トッド・ビショップ著
広範囲に及んだSolarWindsハッキングに関連した不正アカウントがMicrosoftの内部ソースコードの一部を閲覧するために使われていたと、同社は木曜朝に明らかにした。
マイクロソフトは、調査の結果、当該アカウントはコードやエンジニアリングシステムを一切変更できなかったと述べている。また、ハッカーが実稼働中のサービスや顧客データにアクセスしたり、マイクロソフトのシステムを利用して他者を攻撃したという証拠はまだ見つかっていないと改めて強調した。
しかし、今回の暴露は、前例のないサイバー攻撃が話題になり始めてから2週間以上が経過した現在も、事件の影響がまだ明らかになっていないことを示している。
「この活動は当社のサービスや顧客データのセキュリティを危険にさらすものではありませんが、非常に高度な国家主導の攻撃者と思われる集団と戦うにあたり、透明性を保ち、学んだことを共有したいと考えています」と同社はマイクロソフト セキュリティ レスポンス センターのブログ投稿で述べた。
「少数の社内アカウントで異常なアクティビティを検知し、調査の結果、1つのアカウントが複数のソースコードリポジトリのソースコードを閲覧するために使用されていたことが判明しました」と投稿には記されている。「当該アカウントにはコードやエンジニアリングシステムを変更する権限はなく、調査の結果、変更は行われていないことが確認されました。これらのアカウントは調査され、修復されました。」
この高度な攻撃は、2016年に民主党全国委員会を攻撃したのと同じロシアのハッキング集団によるものだと考えられている。
ハッカーは、広く普及しているITインフラ管理製品「SolarWinds Orion Platform」のソフトウェアアップデートに不正にマルウェアを仕込むことで、企業や政府のコンピュータシステムに侵入することに成功しました。テキサス州オースティンに本社を置くSolarWindsは、約1万8000人の顧客が侵害されたソフトウェアをインストールした可能性があると発表しました。
主要な米国政府機関も影響を受けています。米国サイバーセキュリティ・インフラセキュリティ庁は以前、今回の攻撃は「連邦政府、州政府、地方自治体、部族政府、準州政府、そして重要インフラ機関やその他の民間組織にとって重大なリスク」をもたらすと述べています。
マイクロソフトは木曜日の投稿で、社内の取り組みはハッカーが侵入によってアクセスを獲得するという想定から始まり、さらなる侵入や被害の拡大を防ぐことに注力していると述べています。今回の件について、同社は「当社の保護対策によって阻止された活動の試みの証拠が見つかりました。そこで、ここで概説したような業界のベストプラクティスの価値、そして特権アカウントを保護するための戦略の一環として特権アクセスワークステーション(PAW)を実装することの重要性を改めて強調したいと思います」と述べています。
マイクロソフトは、攻撃を阻止するために、Windowsをハッキングから保護する対策を講じるとともに、攻撃に使用された主要ドメインの制御を掌握するなど、積極的な一連の措置を講じてきました。しかし、攻撃は3月以降、密かに実行されていたと考えられています。セキュリティ専門家や政府関係者は、攻撃の影響範囲はまだ完全には明らかになっていないと述べています。
SolarWindsはMicrosoft Office 365の顧客であり、12月14日付の規制当局への提出書類で、「同社の電子メールを侵害し、同社のオフィス生産性向上ツールに含まれる他のデータへのアクセスを可能にした可能性のある攻撃ベクトルを認識している」と述べた。SolarWindsは、この攻撃がOrionソフトウェアビルドシステムへの攻撃と関連しているかどうかをMicrosoftと協力して調査していると述べた。
以前、マイクロソフトのセキュリティレスポンスセンターで働いていたセキュリティ専門家のクリストファー・バッド氏がGeekWire向けに実施した以前の分析では、SolarWindsの攻撃者は「侵入したネットワーク上の認証システムを標的にし、警告が出されずにMicrosoft Office 365などのクラウドベースのサービスにログインできるようにしている」ことが判明した。
マイクロソフトが木曜日に公開した情報によると、同社での事件はバッド氏の「ハッキング規模」のステージIIに移行しており、攻撃者は「より広範なネットワークに移動し、『読み取り専用』モードになっている。つまり、データを読み取って盗むことはできるが、変更することはできない」という。
