編集部からのお知らせ
新着PDF:「Emotetの脅威」
新着記事まとめ「6G始動?」

マイクロソフト「DART」のインシデント対応事例レポート--1つの環境に6の脅威アクター

Liam Tung (Special to ZDNet.com) 翻訳校正: 石橋啓一郎

2020-03-16 08:30

 Microsoftは、顧客のサイバートラブル解決を支援するチーム「Detection and Response Team」(DART)が扱った事例を紹介する、初めてのレポートを公開した。この事例では、大企業顧客の社内ネットワークが同時に6つの攻撃グループに侵入されていた。その中には国家の支援を受けた攻撃グループが含まれており、機密情報や電子メールの内容が243日間にわたって盗まれていた恐れがあるという。

 MicrosoftがDARTについての発表を行ったのは、2019年3月のことだ。DARTは、同社の最高経営責任者(CEO)Satya Nadella氏が発表していた、年間10億ドルの予算を投じた企業のサイバーセキュリティ向上を目指す取り組みの一環だった。

 Microsoftは、ハッカーがどのように活動しているかを紹介するため、被害企業の名前を明かさずにDARTの最新の活動をさらに公表していく予定だという

 最初のレポートでは、管理者の認証情報を盗んで攻撃対象のネットワークに侵入し、機密情報や電子メールの内容を盗んだAPT攻撃グループについて詳しく紹介している。

 注目すべきは、この被害企業が多要素認証(MFA)を使用していなかったことだろう。もしMFAを使用していれば、情報漏えいを防げていたかもしれない。同社は米国時間2月にも、RSA Conferenceで、侵害されているアカウントの99.9%はMFAを使用しておらず、企業のアカウントでMFAを使用しているのは11%にとどまっていることを明らかにしている。

 DARTに声が掛かったのは、その被害企業が、243日経ってもAPT攻撃グループをネットワークから排除できていないというタイミングだった。被害企業は、その7カ月前にインシデント対応サービスを提供する企業と契約を結んでいた。攻撃グループは、Microsoftのチームが到着した日に排除された。また同時に、ネットワークには他にも5つの脅威アクターが侵入していたことが明らかになった。

 このケースのもっとも重要な攻撃グループは、まずパスワードスプレー攻撃を使って「Office 365」の管理者の認証情報を手に入れ、その後メールボックスを検索し、電子メール経由で従業員の間で共有されていた認証情報を見つけていた。DARTは、この攻撃グループが特定の市場向けの知的財産を探していたことも明らかにした。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]