更新:マイクロソフトは、SolarWinds のサプライ チェーンを侵害し、他の複数の組織に影響を与えた国家レベルのサイバー攻撃の背後にある脅威アクターに関する知識を拡大するために、パートナーおよび顧客と協力し続けています。 Microsoft はこれまで攻撃者の主要な指定として「Solorigate」を使用していましたが、今後は、攻撃者が使用するマルウェアの例ではなく、巧妙な攻撃の背後にある攻撃者に適切な焦点を当てたいと考えています。 Microsoft Threat Intelligence Center (MSTIC) は、 SolarWinds、SUNBURST バックドア、TEARDROP マルウェア、および関連コンポーネントに対する攻撃の背後にいる攻撃者を NOBELIUM と名付けました。新しいコンテンツと分析をリリースする際には、NOBELIUM を使用してアクターと攻撃キャンペーンを参照し、以下のこのドキュメントで適切な参照を更新しました。
Nobelium に対する Microsoft の対応
12 月以来、米国、その政府、およびセキュリティ会社を含むその他の重要な機関は、「ソロリゲート」または「サンバースト」と呼ばれることもあり、現在はノーベリウムと呼ばれている世界最新の深刻な国家サイバー攻撃に対処してきました。以前にお伝えしたように、これは私たちの業界にとって計算の時であり、官民のセクターをまたがる防御者の統一された対応が必要です。 Microsoft は、お客様の保護とコミュニティの保護に取り組んでおり、業界パートナーと提携してこの攻撃に対応し、全体的な防御を強化できることを誇りに思っています。強力なサイバーセキュリティには透明性と明確さが重要であると考えており、その精神に則り、よく寄せられる質問に関する情報を共有しています。お客様と地域社会に貢献し、保護することを楽しみにしています。
質問: Nobelium 事件における Microsoft の役割は何ですか?
答え:
Brad Smith が 2020 年 12 月 17 日に書いたように、これはセキュリティを考慮に入れるときです。ノーベリウム事件は、業界が協力して情報を共有し、防御を強化し、攻撃に対応する機会であると考えています。私たちは、ディフェンダー コミュニティに力を与えるために行われている共同作業の一部であることを誇りに思っています。過去 2 か月間、アクターである Nobelium に関連するいくつかの開示があり、Microsoft はいくつかの角度から独自の視点を持っていました。
- FireEye で調査を支援します。
- インジケータを使用して異常なアクティビティを検出し、顧客やパートナーに通知します。
- お客様調査のお手伝い。
- 私たち自身の環境を調査しています。
これまでのすべての調査で、Microsoft サービス (電子メールを含む) でホストされているデータがインシデントの標的になることがありましたが、攻撃者は別の方法で特権資格情報を取得していました。
ノーベリウムに関する最新の調査結果とガイダンスについては、こちらをご覧ください。
質問: あなたは幅広い関与をしているため、詳細を知ってすぐに開示しなかったことで批判されてきました。どのように対応しますか?
答え:
ノーベリウム事件は、業界が協力して情報を共有し、防御を強化し、攻撃に対応する機会であると考えています。
私たちは非常に有能で経験豊富なサイバーセキュリティ対応チームを擁しています。他の組織に調査支援を提供する状況では、詳細を共有することは制限されています。これらの関与において、また当社が組織に通知する場合、それらの組織は、どのような詳細をいつ開示するかを決定する権限を持っています。
さらに、調査によって、実行に移す前にさらなる調査が必要な初期の指標が発見されることがあります。時間をかけてインシデントを徹底的に調査することは、より広範なセキュリティ コミュニティ、お客様、およびパートナーに最適なガイダンスを提供するために必要です。
私たちは Nobeliumリソース センターで実用的な情報を定期的に共有しており、コミュニティに情報を提供して有効にするのに役立つ新しい情報を発見した場合は、追加の更新を提供することをお約束します。
質問: Cybersecurity & Infrastructure Security Agency (CISA) は、SolarWinds 以外にも他の攻撃ベクトルが発見されたと述べています。 Microsoft は何らかの形で Nobelium の最初のエントリ ポイントになりましたか?
答え:
いいえ。これまでの調査では、Microsoft サービス (電子メールを含む) でホストされているデータがインシデントの標的になることがありましたが、攻撃者は別の方法で特権資格情報を取得していました。
最初から、これはツールキットに多くのツールを備えた洗練された攻撃者であると考えていると述べてきたので、洗練された攻撃者が他の方法を使用してターゲットにアクセスすることは驚くことではありません。私たちの調査と業界の同業者との協力を通じて、パスワード スプレー、スピアフィッシング、Web シェルの使用、Web サーバーを介した Web シェルの使用、および委任された資格情報など、攻撃者が利用したいくつかの追加の侵害手法を確認しました。
エンゲージメントからより多くのことを学び、セキュリティ製品を改善し、学んだことをコミュニティと共有し続けます。最新の情報とガイダンスについては、リソース センターをご覧ください。
質問: Microsoft からのお客様への通知について知っておくべきことは何ですか?これは、Microsoft サービスでセキュリティ侵害を検出したということですか?
答え:
いいえ、これはテレメトリが承認されたアカウントで異常なアクティビティを示したことを意味します。
FireEye と協力している調査チームの一員として、フォレンジック調査で攻撃者の行動を分析し、通常のユーザー インタラクションには関連付けられない異常な技術的指標を特定することができました。次に、テレメトリを使用してこれらの指標を検索し、資格情報が Nobelium によって侵害された可能性が高い組織を特定しました。
Microsoft は、影響を受けるお客様に、組織の知識と特定のコンテキスト内で観察された動作を調査するために必要な指標を提供するように直接通知します。
質問: 一部の人は、SolarWinds 8K の文言を、Microsoft Office 365 に関連する攻撃ベクトルを認識した、または調査していることを意味すると解釈しています。それは調査されていますか?
8K の文言は次のとおりです。 SolarWinds は、会社の電子メールを侵害するために使用され、会社のオフィス生産性ツールに含まれる他のデータへのアクセスを提供した可能性がある攻撃ベクトルを認識しました。」
答え:
徹底的に調査しましたが、Office 365 を介して攻撃されたという証拠は見つかりませんでした。SolarWinds 8K ファイリングの文言は残念ながらあいまいであり、誤った解釈と憶測につながりましたが、これは調査結果によって裏付けられていません。 SolarWinds は、2021 年 2 月 3 日のブログでこれらの調査結果を確認しています。
質問: ロイターは 2020 年 12 月 17 日にニュースを発表し、「Microsoft 自身の製品が攻撃を促進するために使用された」と主張し、「感染した製品の影響を受けた Microsoft ユーザーの数」はすぐには明らかではないと述べました。その記事は正確ですか?
答え:
いいえ、正確ではありません。その時に述べたように、それ以降のすべての調査に基づいて、私たちのシステムが他の人を攻撃するために使用されたという兆候は見つかりませんでした. Microsoft サービス (電子メールを含む) でホストされているデータは、侵害後の攻撃の標的になることがありましたが、それは攻撃者が他の方法で特権資格情報を取得した後でした。
質問: 一部の企業は、ハッカーが Microsoft 製品を介して自社のシステムに侵入したと主張しています。これに異議を唱えますか?
答え:
それぞれの状況に気づき次第調査しました。いずれの場合も、Microsoft サービス (電子メールを含む) でホストされているデータがインシデントの標的でしたが、攻撃者は別の方法で特権資格情報を取得していました。
質問: Microsoft が Nobelium による攻撃を受けていることを知ったのはいつですか?
答え:
当社のセキュリティ チームは、ユーザー、デバイス、およびデータを当社の環境に対する進行中の脅威から保護するために継続的に取り組んでいますが、悪意のある SolarWinds アプリケーションに気付いたとき、特に Nobelium 攻撃者に焦点を当てた調査が始まりました。
マイクロソフトは、2020 年 12 月 31 日にMicrosoft 内部調査の更新プログラムを公開しました。まもなく別の更新プログラムを提供する予定です。
質問: ノーベリウムの深刻さを考えると、何ができるでしょうか?大きなポイントは何ですか?
答え:
サイバーセキュリティ業界は、高度な技術と十分な資金を備えた攻撃者が理論的には高度な技術、忍耐力、およびレーダーの下での操作が可能であることを長い間認識していましたが、この事件はそれが単なる理論上のものではないことを証明しました.
ノーベリウム事件は、業界が協力して情報を共有し、防御を強化し、攻撃に対応することの利点を証明したと考えています。
さらに、この攻撃は、業界が以前から提唱してきた 2 つの重要なポイント、つまり多層防御とゼロトラストの考え方の採用を強化しました。
多層防御の保護とベスト プラクティスは非常に重要です。防御の各レイヤーは、攻撃が貴重な資産に近づく前に、攻撃を検出してアクションを実行する追加の機会を提供するからです。これは、社内調査で確認したところ、多層防御によって阻止された活動の試みの証拠が見つかりました。そのため、 ここで概説したような業界のベスト プラクティスの価値と、特権アカウントを保護するための戦略の一環として特権アクセス ワークステーション ( PAW ) を実装することの価値を繰り返し述べたいと思います。
ゼロトラスト、「侵害を想定する」という哲学は、防御への重要なアプローチです。私たちが観察した技術の多くは侵害後の技術であるため、セキュリティ企業と Microsoft は、攻撃者が不正アクセスを取得した場合でも検出を改善し、保護を提供する方法を探しています。
参考: https ://www.microsoft.com/en-us/security/blog/2021/02/04/sophisticated-cybersecurity-threats-demand-collaborative-global-response/
Comments