Microsoftがロシア政府が支援するハッカー組織から再びサイバー攻撃を受けたと発表

Microsoftのブラッド・スミス社長が「過去10年で最も深刻なサイバー攻撃の1つ」と言及したのは、SolarWindsが提供するネットワーク監視ソフトウェア「Orion Platform」を用いることで、アメリカの政府機関や大企業に対して行われた大規模なハッキング攻撃です。このサイバー攻撃を仕掛けたのはロシア政府が支援するハッカー組織「NOBELIUM」(ノーベリウム)であると目されているのですが、この組織による新しいサイバー攻撃を受けたとMicrosoftが発表しています。

New Nobelium activity – Microsoft Security Response Center
https://msrc-blog.microsoft.com/2021/06/25/new-nobelium-activity/

Microsoft says new breach discovered in probe of suspected SolarWinds hackers | Reuters
https://www.reuters.com/technology/microsoft-says-new-breach-discovered-probe-suspected-solarwinds-hackers-2021-06-25/

SolarWinds hackers breach new victims, including a Microsoft support agent | Ars Technica
https://arstechnica.com/gadgets/2021/06/solarwinds-hackers-breach-new-victims-including-a-microsoft-support-agent/

Nobelium hackers accessed Microsoft customer support tools
https://www.bleepingcomputer.com/news/microsoft/nobelium-hackers-accessed-microsoft-customer-support-tools/

Orion Platformを用いる政府機関や大企業に対して行われた大規模なサイバー攻撃について、SolarWindsは「2020年3月と6月に配布したOrion Platformのソフトウェアアップデートがサプライチェーン攻撃によって改ざんされた可能性がある」と言及しています。改ざんされたソフトウェアアップデートは1万8000社に配布されたとみられており、アメリカの財務省・国務省・国家電気通信情報管理庁・国立衛生研究所・エネルギー省・国土安全保障省・国家核安全保障局などの省庁のほか、Microsoft・Cisco・FireEyeといった大企業もサイバー攻撃の被害を受けたと報じられました。

Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは？ - GIGAZINE

この攻撃を仕掛けたのは、前述の通りロシア政府が支援しているとみられるハッカー組織のノーベリウムです。このノーベリウムによる新たなサイバー攻撃を受けていたことを、Microsoftが2021年6月25日に明かしました。

Microsoftによると、ノーベリウムによるサイバー攻撃については記事作成時点でも「調査中」とのこと。ノーベリウムはパスワードスプレー攻撃やブルートフォースアタックを駆使し、3つのエンティティを侵害したそうです。パスワードスプレー攻撃やブルートフォースアタックは、ログインサーバーに対して行われる攻撃であり、アカウントへの不正アクセスを試みるというもの。ただし、Microsoftは「ノーベリウムによる最近の活動はほとんど失敗しており、攻撃のターゲットにされた大部分は侵害されていません」と述べており、3つのエンティティ以外への攻撃は失敗したとしています。

Microsoftは「一部の顧客のアカウント情報にアクセスできるカスタマーサポートエージェントの1つで、情報を盗むマルウェアが検出された」と述べ、サイバー攻撃はマルウェアを用いたものであることが明らかになっています。Microsoftによると、ノーベリウムは不正アクセスで入手した情報を悪用し、より広範なサイバー攻撃を仕掛ける可能性があるとのことです。なお、ロイター通信の報道によると、報道機関に所属する記者の1人が攻撃の標的にされた可能性があります。

また、Microsoftは「マルウェアに感染したカスタマーサポートエージェント」の詳細を明かしていませんが、ロイター通信によればこれを用いて個人アカウントの支払い請求先・連絡先・顧客が支払った有料サービスに関する情報などにアクセス可能になるとのこと。そのため、ロイター通信は「ユーザー名やメールアドレスを変更することを推奨する」としています。

なお、海外メディアのArs TechnicaがSolarWindsに問い合わせたところ、「Microsoftが今回報告した最新のサイバー攻撃には、当社の顧客は一切関与していません」という声明が返ってきたそうです。

Microsoftによると、パスワードスプレー攻撃は特定の顧客を対象としたものであり、全体の57％はIT企業を、20％は政府機関を、残りは非政府組織・シンクタンク・金融サービスを対象としていたそうです。なお、今回のサイバー攻撃の約45％がアメリカの顧客、10％がイギリスの顧客、残りはドイツやカナダなどの顧客を対象としたものであり、攻撃全体で36カ国の顧客がノーベリウムによるサイバー攻撃の標的とされたそうです。

また、Microsoftの広報担当者は今回のサイバー攻撃について、「前回のOrion Platformを用いたサイバー攻撃とは無関係である」と述べています。ただし、今回の攻撃により侵害された端末や、影響のある領域などの詳細については一切明らかにしていません。