中国に対する緩和

2023 年 7 月 11 日 | チャーリー ベル - Microsoft セキュリティ担当エグゼクティブ バイスプレジデント

Microsoft や業界関係者は、サイバーインシデントに関しては、私たちが学んで改善できるよう透明性を求めてきました。 以前に述べたように、高度な攻撃の指数関数的な増加と頻度を無視することはできません。 私たちが直面する課題の増大は、情報共有と業界パートナーシップの強化に対する私たちの取り組みを強化するだけです。

本日、Microsoft が Storm-0558 として追跡している中国を拠点とする攻撃者による活動の詳細を公開します。この攻撃者は、政府機関を含む約 25 の組織に影響を与える電子メール アカウントと、これらの組織に関連していると思われる個人の関連消費者アカウントへのアクセスを取得しました。 私たちは影響を受ける顧客と協力しており、詳細を公表する前に顧客に通知しています。 現段階では、お客様と連携して、業界に利益をもたらすために、インシデントと攻撃者の詳細を共有しています。

サイバー攻撃は高度化と頻度を増し続けています

動機を持った攻撃者は、IT システムの侵害に引き続き注力しています。 これらの豊富なリソースを持つ攻撃者は、ターゲット組織に関連するビジネスアカウントと個人アカウントを侵害しようとすることを区別していません。これは、侵害に成功したアカウントへのログインが 1 回だけで永続的なアクセスを取得し、情報を窃取し、スパイ活動の目的を達成するためです。 Microsoft がこの事件に関与している脅威アクターは、Microsoft が Storm-0558 と呼んでいる中国に拠点を置く敵対者です。 私たちは、この敵が情報収集のために電子メール システムにアクセスするなどのスパイ行為に焦点を当てていると評価しています。 この種のスパイ活動を動機とする敵は、資格情報を悪用し、機密システムに存在するデータにアクセスしようとします。

すべての顧客に対して緩和が完了しました

2023 年 6 月 16 日、お客様から報告された情報に基づいて、Microsoft は異常なメール アクティビティの調査を開始しました。 その後数週間にわたる当社の調査により、2023 年 5 月 15 日以降、Storm-0558 が約 25 の組織からの電子メール データと、これらの組織に関連していると思われる個人の少数の関連消費者アカウントにアクセスしたことが明らかになりました。 これは、偽造した認証トークンを使用し、取得した Microsoft アカウント (MSA) 消費者署名キーを使用してユーザーの電子メールにアクセスすることで行われました。 Microsoft は、すべての顧客に対するこの攻撃の軽減を完了しました。

防御と顧客環境を強化するために、この攻撃に関連する既知の侵害の兆候に対する大幅な自動検出を追加しましたが、さらなるアクセスの証拠は見つかりませんでした。

迅速な緩和への鍵となる調整された対応

Microsoft のリアルタイム調査と顧客との協力により、Microsoft クラウドに保護を適用して、Storm-0558 の侵入試みから顧客を保護できるようになりました。 私たちは攻撃を軽減し、影響を受けた顧客に連絡しました。 また、DHS CISA などの関連政府機関とも提携しています。 彼らや他の人々が影響を受ける顧客を保護し、問題に対処するために私たちと協力してくれることに感謝しています。 コミュニティの迅速かつ強力かつ調整された対応に感謝しています。

お客様と防御者コミュニティをサポートするための詳細については、こちらをご覧ください。

説明責任は私たちから始まります

説明責任はここマイクロソフトから始まります。 当社はお客様の安全を守るという取り組みを堅持し続けます。 私たちは継続的に自己評価を行い、インシデントから学び、アイデンティティ/アクセス プラットフォームを強化して、キーとトークンに関する進化するリスクを管理しています。

私たちはセキュリティの限界に挑戦し続け、何が起こっても備えられるようにする必要があります。 当社は今後もお客様やコミュニティと協力して情報を共有し、集団防御を強化していきます。