マイクロソフト「DART」のインシデント対応事例レポート--1つの環境に6の脅威アクター

Liam Tung (Special to ZDNET.com) 翻訳校正: 石橋啓一郎

2020-03-16 08:30

 Microsoftは、顧客のサイバートラブル解決を支援するチーム「Detection and Response Team」(DART)が扱った事例を紹介する、初めてのレポートを公開した。この事例では、大企業顧客の社内ネットワークが同時に6つの攻撃グループに侵入されていた。その中には国家の支援を受けた攻撃グループが含まれており、機密情報や電子メールの内容が243日間にわたって盗まれていた恐れがあるという。

 MicrosoftがDARTについての発表を行ったのは、2019年3月のことだ。DARTは、同社の最高経営責任者(CEO)Satya Nadella氏が発表していた、年間10億ドルの予算を投じた企業のサイバーセキュリティ向上を目指す取り組みの一環だった。

 Microsoftは、ハッカーがどのように活動しているかを紹介するため、被害企業の名前を明かさずにDARTの最新の活動をさらに公表していく予定だという

 最初のレポートでは、管理者の認証情報を盗んで攻撃対象のネットワークに侵入し、機密情報や電子メールの内容を盗んだAPT攻撃グループについて詳しく紹介している。

 注目すべきは、この被害企業が多要素認証(MFA)を使用していなかったことだろう。もしMFAを使用していれば、情報漏えいを防げていたかもしれない。同社は米国時間2月にも、RSA Conferenceで、侵害されているアカウントの99.9%はMFAを使用しておらず、企業のアカウントでMFAを使用しているのは11%にとどまっていることを明らかにしている。

 DARTに声が掛かったのは、その被害企業が、243日経ってもAPT攻撃グループをネットワークから排除できていないというタイミングだった。被害企業は、その7カ月前にインシデント対応サービスを提供する企業と契約を結んでいた。攻撃グループは、Microsoftのチームが到着した日に排除された。また同時に、ネットワークには他にも5つの脅威アクターが侵入していたことが明らかになった。

 このケースのもっとも重要な攻撃グループは、まずパスワードスプレー攻撃を使って「Office 365」の管理者の認証情報を手に入れ、その後メールボックスを検索し、電子メール経由で従業員の間で共有されていた認証情報を見つけていた。DARTは、この攻撃グループが特定の市場向けの知的財産を探していたことも明らかにした。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]