マイクロソフトがSolarWindsサイバー攻撃に関する最終レポートを投稿

マイクロソフトは、大規模なSolarWindsサイバー攻撃に関する最終レポートを投稿し、その調査結果と関与に関する追加の詳細を提供しています。レポートは、攻撃者が製品のソースコードへのアクセスを含め、いくつかのマイクロソフト製品のコードリポジトリにアクセスしたことを確認しています。

攻撃者がソースコードにアクセスするのは心配そうに聞こえますが、Microsoftのレポートでは、アクセスされたリポジトリには「ライブの本番認証情報」が含まれていないことが強調されています。

マイクロソフトが最終的なSolarWindsレポ​​ートをリリース

Microsoftの最終的なSolarWindsレポ​​ートは、 Microsoft Security ResponseCenterブログで読むことができます。

SolarWindsに対処するために、最新のレポートからいくつかの重要なポイントがあります。

まず、マイクロソフトは「マイクロソフトのシステムが他人を攻撃するために使用されたという兆候を発見しませんでした」。

これは標準的な対応のように思えるかもしれませんが、MicrosoftとSolarWinds(Orionソフトウェアが攻撃の出発点となった会社)は、サプラ​​イチェーンハックで最初に侵害され会社について継続的に議論しています。

次に、Microsoftのレポートは、攻撃者がMicrosoft製品のソースコードを含むいくつかのリポジトリにアクセスしたことを確認しています。

単一の製品またはサービスに関連するすべてのリポジトリにアクセスしたケースはありませんでした。大部分のソースコードにアクセスできませんでした。アクセスされたほぼすべてのコードリポジトリについて、リポジトリ検索の結果として表示された個々のファイルはごくわずかでした。

レポートはさらに、攻撃者が追加のアクセス権を取得したリポジトリのいくつかについて詳しく説明しています。

  • Azureコンポーネントの小さなサブセット(サービス、セキュリティ、IDのサブセット)
  • Intuneコンポーネントの小さなサブセット
  • Exchangeコンポーネントの小さなサブセット

これらのリポジトリ内で、攻撃者は「秘密を見つけよう」としました。それは、脆弱性、バックドア、またはデータです。 Microsoftは、公開可能なコードのシークレットを処理しないため、何も見つかりませんでした。ただし、違反の規模とターゲットの範囲が原因で、Microsoftはコードベースの完全な検証を実行しました。

関連: MicrosoftがSolarWindsの攻撃者がアクセスしたソースコードを明らかに

MicrosoftがSolarWindsから学んだこと

マイクロソフトや、SolarWindsサイバー攻撃に関与している他のほとんどの技術およびセキュリティ企業にとって、最大の教訓は、攻撃者が長期間静かに見えないところに潜んでいることから、一見警告なしに、そのような巨大な攻撃が発生する可能性があるということです。

国民国家の脅威アクターなどの十分に進んだ脅威は、複数のテクノロジー企業や多くの米国政府部門に侵入して、規模の運用にリソースを積み上げる可能性があります。

マイクロソフトは、SolarWinds攻撃者の実際の標的が何であるかを確立しました、攻撃は非常に広範であったため、盗まれたデータの量や将来の使用方法を真に理解することはできません。