Microsoftのソースコードと内部システムにロシア政府系ハッカー「Midnight Blizzard」がアクセスしていたことが判明

Microsoftは2024年1月に、NOBELIUMやCozy Bear、APT29などとしても知られるロシアの国家支援を受けたハッカー集団「Midnight Blizzard」からハッキングを受けたことを発表しました。さらに、Microsoftは3月8日の続報で、Midnight Blizzardがハッキングで得た情報を利用して自社のネットワークに侵入し、ソースコードや内部システムを侵害したことを報告しました。
Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard | MSRC Blog | Microsoft Security Response Center
https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/
Microsoft says Kremlin-backed hackers accessed its source and internal systems | Ars Technica
https://arstechnica.com/security/2024/03/microsoft-says-kremlin-backed-hackers-accessed-its-source-and-internal-systems/
Microsoft says Russian hackers breached its systems, accessed source code
https://www.bleepingcomputer.com/news/microsoft/microsoft-says-russian-hackers-breached-its-systems-accessed-source-code/
Microsoftが1月に発表したMidnight Blizzardのハッキングでは、従業員のメールアカウントがパスワードスプレー攻撃によって侵害され、メール文や添付ファイルなどが流出しました。
パスワードスプレー攻撃とは、複数のアカウントに対してよく使われるパスワードでのログインを試行するというもの。2要素認証を使えばリスクを減らすことができますが、攻撃対象となった「既存の非運用テストテナントアカウント」、つまり廃止された後に削除されないまま残されていたアカウントでは2要素認証が有効化されていませんでした。

さらに、Microsoftは今回の発表で、「ここ数週間、Midnight Blizzardが不正にアクセスし、または不正アクセスを試みるために、最初に企業電子メールシステムから流出した情報を使用しているという証拠を確認しました、これには、ソースコードリポジトリと内部システムの一部へのアクセスが含まれます」と述べて、1月のハッキングで流出した情報によりソースコードなどが盗み取られたことを明かしました。
これまでのところ、Microsoftがホストしている顧客向けシステムが侵害された証拠は発見されていないとのことですが、Midnight Blizzardは以前に入手した情報を後続の攻撃に悪用し続けており、元から高かったパスワードスプレー攻撃の頻度をさらに高くしているとMicrosoftは報告しています。
「このことは、アカウントへのログインに使用されたパスワードが、以前の侵害によって収集された資格情報で推測できるほど脆弱(ぜいじゃく)なことを意味しています」と、IT系ニュースサイトのArs Technicaは指摘しました。

Microsoftは、Midnight Blizzardが機密情報の使用を試みているのが明白であることや、それらの機密の一部が流出したMicrosoftと顧客との間でやりとりされた電子メールで共有されたものであることから、顧客に連絡を取って対策を講じることを支援しているとしています。
「機密」が何を指すのかは明かされていませんが、IT系ニュースサイトのBleepingComputerによると、認証トークンやAPIキー、または資格情報の可能性があるとのことです。
Microsoftは「現在も行われているMidnight Blizzardの攻撃の特徴は、この脅威アクターが豊富なリソースや調整能力を重点的に投入していることです。また、Midnight Blizzardは攻撃対象としている地域の情報を蓄積し、攻撃能力を高めている可能性があります。これは、特に高度な国家攻撃であるという点で、前例のないグローバルな脅威が高まっているという状況を反映しています」と述べて、ロシア政府が後ろ盾になっている国際的なサイバー脅威の危険性を改めて強調しました。