Microsoft、ロシアが支援するNobeliumによる攻撃で社内メール盗難
Microsoftは、ごく一部の従業員のメールアカウントが侵害され、メールが盗まれたと発表した。同社がロシア国営攻撃者とするMidnight Blizzard(Nobelium、APT29、Cozu Bear)の攻撃としている。
米Microsoftは1月19日(現地時間)、従業員のメールアカウントの一部が、サイバー攻撃者Midnight Blizzardに侵害されたと発表した。この組織は、NobeliumまたはAPT29あるいはCozy Bearとしても知られ、ロシアが支援しているとみられている。
同社の製品やサービスの脆弱性が原因ではなく、現在のところ、顧客環境やシステムが侵害されたという証拠はないとしている。
攻撃者は昨年11月に非運用テストテナントアカウントにアクセスすべく、パスワードスプレー攻撃を行い、システム侵入に成功したという。
パスワードスプレー攻撃とは、ログイン名のリストを入手し、そのログイン名に可能性のあるパスワードを入力し続けることでログインするブルートフォース攻撃の一種だ。多要素認証設定にしていれば防げる。
攻撃者はテストアカウントのアクセスに成功し、1カ月以上にわたってMicrosoftの社内のメールアカウントの「ごく一部」にアクセスしたとMicrosoftは説明する。
Microsoftは1月12日にこの問題を検知し、侵害された従業員に通知している。
Midnight Blizzardは、2020年のSolarWindsへの攻撃で知られるようになった、Microsoftなどがロシア国営攻撃者とみなす脅威アクター。
Microsoftは昨年4月、脅威アクターの命名分類法を変え、NobeliumをMidnight Blizzardと呼ぶようになった。
関連記事
- 「LAPSUS$」は「Strawberry Tempest」に──Microsoftの新脅威分名方式
Microsoftは脅威アクター(サイバー攻撃者)の命名法を従来の化学元素名から気象現象名に変更する。国や規模が分かりやすくなるとしている。たとえばNSO Group(DEV-0336)には「Night Tsunami」という新たな名前を付ける。 - ロシアNobeliumによる新たな大規模サイバー攻撃をMicrosoftが警告
Microsoftは少なくとも24カ国の政府機関やシンクタンクなどがサイバー攻撃を受けたと発表。攻撃者は昨年末のSolarWinds悪用攻撃と同じロシア由来の「Nobelium」だとしている。 - Microsoft、「SolarWinds悪用攻撃者にソースコードを見られた」
Microsoftは、ロシアによるとみられるSolarWindsのアプリを悪用した大規模攻撃で、攻撃者が従業員のアカウントを使って同社のソースコードの一部を表示していたと発表した。アカウントの権限は表示のみだったので改変はされなかったとしている。 - 米政府などへの大規模サイバー攻撃はSolarWindsの更新をトロイの木馬化 ユーザーに対処を呼び掛け
米商務省などへのロシアからとみられる大規模サイバー攻撃には、ネットワーク管理企業SolarWindsのソフトウェア更新がトロイの木馬として悪用されていたことが判明。アジアや欧州の顧客も被害に遭った可能性があり、SolarWindsは顧客にアップデートを呼び掛けた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.