Microsoftのセキュリティチームは米国時間2月18日、SolarWinds関連の不正侵入に関する調査を完了し、同社の内部システムや製品を悪用してエンドユーザーや企業顧客が攻撃されたことを示す証拠は見つからなかったと述べた。
提供:Microsoft
同社は、ロシアとつながりがあるとみられるハッカー集団により、ソフトウェアベンダーSolarWindsのITモニタリングプラットフォーム「Orion」にマルウェアが仕込まれていたことを発見し、12月中旬に調査を開始していた。Microsoftは社内システムにOrionを利用していた。
その後、同社は2020年12月31日付けのブログ記事の中で、ハッカー集団がOrion経由で同社の社内ネットワークに侵入し、一部の内部プロジェクトのソースコードにアクセスしたことを明らかにした。
18日にMicrosoftが発表したSolarWinds攻撃に関する最終報告書には、「分析の結果、ソースリポジトリー内のファイルの閲覧は11月末から始まり、影響を受けたアカウントのセキュリティが強化されるまで続いた」と書かれている。
ハッカー集団はアクセス切断後もMicrosoftアカウントへのアクセスを試みた。こうしたアクセスは12月に入り、SolarWinds攻撃が公表された後も数週間にわたって続き、Microsoftが調査を開始したことが報道された後の2021年1月初旬まで続いた。
Microsoftのセキュリティチームは報告書で、「特定の製品やサービスのリポジトリー全体がアクセスを受けた形跡はなかった」と述べ、「ソースコードの大部分はアクセスを受けていない」と断言した。
その一方で、ハッカー集団が「リポジトリー検索を実施し、ごく少数のファイル」を閲覧していたことが明らかにされた。
Microsoftはコードリポジトリー内で実施された検索クエリーから、ハッカー集団の狙いは他のMicrosoftシステムにアクセスを拡大するための秘密情報(アクセストークン)の取得だったと推測している。
しかし同社では開発者がソースコード内に秘密情報を残すことは禁じられているため、ハッカー集団の目論見は外れた。
一部のソースコードはダウンロードされた
しかしハッカー集団はファイルを閲覧しただけでなく、一部のコードについてはダウンロードに成功していた。ただし、ダウンロードされたデータは広範囲にわたるものではなく、一部のクラウドベース製品コンポーネントのソースコードに限られた。
Microsoftによれば、アクセスを受けたリポジトリーに格納されていたコードは以下の通り。
- Azureコンポーネントの一部サブセット(サービス、セキュリティ、アイデンティティーのサブセット)
- Intuneコンポーネントの一部サブセット
- Exchangeコンポーネントの一部サブセット
総括すれば、今回の攻撃はMicrosoft製品に特筆すべき損害を与えず、ユーザーデータが広範なアクセスを受ける事態にもつながらなかったようだ。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。