米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、マイクロソフトのシステムが侵害され、同社との電子メール通信が盗まれたことを受け、連邦機関に対して侵害の兆候を探し、リスクを軽減するための予防措置を講じるよう緊急指令(ED 24-02)を発令した。この攻撃は、ロシアの国家支援グループ「Midnight Blizzard」(別名APT29またはCozy Bear)によるものとされ、今年初めに明らかになった。マイクロソフトは先月、攻撃者が同社の一部ソースコードリポジトリにアクセスしたことを明らかにしたが、顧客向けシステムの侵害の証拠はないと述べた。この緊急指令は4月2日に連邦機関に対して非公開で発行され、CyberScoopが2日後に初めて報じた。
CISAは、攻撃者がマイクロソフトの顧客とマイクロソフト間の電子メールで共有された認証情報を含む、企業の電子メールシステムから最初に抽出した情報を使用して、マイクロソフトの顧客システムへの追加アクセスを得る、または試みると述べた。政府機関とマイクロソフト間の電子メール通信の盗難は深刻なリスクをもたらすため、関係者には抽出された電子メールの内容を分析し、侵害された認証情報をリセットし、特権Microsoft Azureアカウントの認証ツールが安全であることを確認するための追加の措置を講じるよう促した。事件の影響を受けて電子メール交換が抽出された連邦機関の数は現在明らかにされていないが、CISAはすべての機関に通知されたと述べている。また、影響を受けた機関には、2024年4月30日までにサイバーセキュリティ影響分析を実施し、2024年5月1日23時59分までに状況更新を提供するよう求めている。侵害の影響を受けた他の組織には、追加の質問やフォローアップのためにそれぞれのマイクロソフトアカウントチームに連絡するようアドバイスしている。
CISAは、直接の影響を受けているかどうかにかかわらず、すべての組織に対して、強力なパスワード、多要素認証(MFA)、および安全でないチャネルを介した保護されていない機密情報の共有を禁止するなど、厳格なセキュリティ対策を講じることを強く推奨している。この発表は、組織がマルウェアサンプルやその他の疑わしいアーティファクトを分析のために提出できる新しいバージョンのマルウェア分析システム「Malware Next-Gen」をCISAがリリースしたことに続くものである。
【ニュース解説】
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、マイクロソフトのシステムが侵害され、その結果として同社との電子メール通信が盗まれたことを受け、連邦機関に対して侵害の兆候を探し、リスクを軽減するための予防措置を講じるよう緊急指令を発令しました。この攻撃は、ロシアの国家支援グループであるMidnight Blizzard(別名APT29またはCozy Bear)によるものとされています。マイクロソフトは攻撃者が一部のソースコードリポジトリにアクセスしたことを認めましたが、顧客向けシステムが侵害された証拠はないと述べています。
この緊急指令は、攻撃者がマイクロソフトの顧客との間で共有された認証情報を利用して、顧客システムへの追加アクセスを得る、または試みる可能性があるとしています。特に、政府機関とマイクロソフト間の電子メール通信の盗難は、深刻なセキュリティリスクをもたらす可能性があります。そのため、関係者には抽出された電子メールの内容を分析し、侵害された認証情報をリセットするなどの措置を講じるよう促しています。
この事件は、サイバーセキュリティの重要性を改めて浮き彫りにしています。特に、政府機関や大企業は、高度なサイバー攻撃の標的となりやすいため、セキュリティ対策の強化が急務です。CISAは、強力なパスワードの使用、多要素認証(MFA)の導入、機密情報の安全でないチャネルを介した共有の禁止など、厳格なセキュリティ対策の適用をすべての組織に強く推奨しています。
このような攻撃の発生は、サイバーセキュリティ対策の重要性を再認識させるとともに、組織が自身のセキュリティ体制を見直し、強化する機会を提供します。また、政府機関や企業がサイバーセキュリティの専門家と連携し、最新の脅威情報を共有し合うことの重要性を示しています。長期的には、このような攻撃への対応と予防策の強化が、より堅牢なサイバーセキュリティ環境の構築に寄与することが期待されます。
from U.S. Federal Agencies Ordered to Hunt for Signs of Microsoft Breach and Mitigate Risks.
