サイバー攻撃されたMicrosoft 被害は政府へ飛び火か

Microsoftのセキュリティ態勢が注目を集めている。態勢に抜け穴があり、政府に至る攻撃のきっかけとなってしまったからだ。

[David Jones，Cybersecurity Dive]

　米国政府の関連機関は2024年4月11日、連邦政府機関の認証情報が盗み出され、政府を危険にさらす可能性があると発表した。

なぜMicrosoftが攻撃されると政府が危ないのだろうか

　これは2023年11月下旬からMicrosoftの社内システムを狙っていたロシアに関連する攻撃者（注1）によるものだ。なぜMicrosoftが攻撃されると、政府の危機になるのだろうか。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年4月2日、連邦政府機関に対して緊急指令を発表した（注2、注3）。速やかに認証情報をリセットして、潜在的な侵害や悪質な活動を探すように探索するよう求めたものだ。政府機関は結果を2024年4月8日までにCISAに報告する必要があったほど緊急のものだ。

　CISAのエリック・ゴールドスタイン氏（サイバーセキュリティ担当エクゼクティブアシスタントディレクター）は、2024年4月11日のメディアブリーフィングで、「各機関は認証情報が暴露されたかもしれない状況から復旧するために緊急対応している。現時点では、認証情報の流出の結果として危険にさらされた機関の本番環境をまだ把握していない」と述べた。

　CISAによると、Microsoftと幾つかの連邦政府機関はメールを通じて認証情報を交換していた。これによって、攻撃グループがリスクや暴露を引き起こした。ゴールドスタイン氏は認証情報が共有された理由について明言を避けたが、トラブルシューティングチケットの一部として、あるいは問題を解決するためのコードスニペットの一部として、ログイン情報が共有されることがあると指摘した。

　「これは確かにベストプラクティスではなく、かなりのリスクを伴うものだ」（ゴールドスタイン氏）

　Microsoftはロシアと関連する脅威グループを「Midnight Blizzard」と命名した。このグループは「APT29」や「Cozy Bear」という名称でも知られている。Microsoftは米証券取引委員会（SEC）に提出した書類の中で「この攻撃グループは2023年11月下旬に当社から盗んだ機密情報を使用し、2024年3月に当社のインフラストラクチャへのアクセスを試みた」と述べた。

　Midnight Blizzardは2020年にSolarWindsや他の企業を標的としてサンバースト攻撃を開始した際、「Nobelium」という名称で知られていた。

　Microsoftが暴露の可能性を通知した機関の数や、どの機関が緊急指令に従う必要があるのかをCISAは明らかにしなかった。

　「Midnight Blizzardによる認証情報の露出の可能性を評価し、連邦企業に対する緊急のリスクを検討している所だ」（ゴールドスタイン氏）

調査はMicrosoftに任せきり

　膨大な数の連邦政府機関を巻き込む暴露があり、潜在的に危険な状況であるにもかかわらず、米国政府は修復支援と危険を特定する継続的な調査をMicrosoftに依頼している。

　「実際に認証情報が露出したり、情報にアクセスされたりした可能性があるかどうかを評価するため、Microsoftからの情報に基づいて分析を継続中だ」（ゴールドスタイン氏）

　Microsoftにコメントを求めたところ、2024年4月1日週に「Cybersecurity Dive」が得た回答を繰り返した（注4）。Microsoftの広報担当者は「2024年3月8日のブログで伝えたように、流出したメールに機密情報が含まれていると判明したため、顧客と協力して調査と緩和を実行中だ。これには、政府機関にガイダンスを提供するための緊急指令に関するCISAとの連携も含まれる」と述べた。

　Midnight BlizzardはMicrosoftに対して、被害が拡大する可能性のある攻撃をしつこく繰り返した。このことは、Microsoftが社内のセキュリティ対策を抜本的に見直す必要性を明らかにした（注5）。

　CISAの緊急指令はサイバー安全審査委員会（CSRB）が「Microsoftにおける一連のセキュリティ上の失敗の連鎖」とする報告書を公表した日と同日に発行された（注6）。この「失敗」は2023年5月に中国と関連する脅威グループが「Microsoft Exchange」のアカウントを侵害することにつながった。

　Microsoftが「Storm-0558」と特定した国家グループによる攻撃は、米国の高官を含む22の組織と500人以上の個人の電子メールを危険にさらした（注7）。CSRBは報告書の中で、「Microsoftはこの侵入の根本的な原因をまだ特定できていない」と述べた。

　「CISAと米国政府全体は、CSRBの勧告に基づき、Microsoftとの連携を強め、Microsoftの広範なセキュリティ文化と企業に対する改善計画をさらに進展させようとしている」（ゴールドスタイン氏）

出典：Federal agencies caught sharing credentials with Microsoft over email（Cybersecurity Dive）
注1：Microsoft’s security woes persist as Midnight Blizzard remains on the offensive（Cybersecurity Dive）
注2：ED 24-02: Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System（CISA）
注3：CISA Issues Emergency Directive 24-02: Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System（CISA）
注4：CISA assessing threat to federal agencies from Microsoft adversary Midnight Blizzard（Cybersecurity Dive）
注5：Microsoft to overhaul internal security practices after Midnight Blizzard attack（Cybersecurity Dive）
注6：Microsoft Exchange state-linked hack entirely preventable, cyber review board finds（Cybersecurity Dive）
注7：Microsoft hardens key issuance systems after state-backed hackers breach Outlook accounts（Cybersecurity Dive）