Microsoftは米国時間7月11日、中国を拠点とする脅威アクターによる攻撃を緩和したことを公表した。同社はこの脅威アクターを「Storm-0558」として追跡している。Storm-0558は、電子メールを標的としており、スパイ活動、データ窃取、認証情報へのアクセスなどの目的で、主に西欧の政府機関をターゲットにしているという。
同社は、6月16日に顧客から寄せられた情報を基に、異常な電子メールアクティビティーの調査を開始した。その後、Storm-0558が5月15日以降、政府機関を含む約25の組織の電子メールアカウントと、それらの組織に関連していると思われる個人のコンシューマー向けアカウントに不正アクセスしたことが明らかになったという。Microsoftは、影響を受けた組織の名前を明かしていないが、TechCrunchがホワイトハウス国家安全保障会議の広報官の話として報じたところによると、米政府機関も影響を受けたという。
Storm-0558は、偽造した認証トークンを使用することで、「Outlook Web Access in Exchange Online」(OWA)と「Outlook.com」を使用する電子メールアカウントにアクセスした。MicrosoftはStorm-0558による不正アクセスへの対策をすでに完了したと述べており、ユーザー側での対応は必要ないという。
Microsoftは、影響を受けた顧客を保護してこの問題に対処するため、米国土安全保障省のサイバーセキュリティインフラセキュリティ庁(DHS CISA)などと連携しており、Storm-0558の活動の調査と監視を今後も続けていく、と述べている。
