Microsoftは、顧客のサイバートラブル解決を支援するチーム「Detection and Response Team」(DART)が扱った事例を紹介する、初めてのレポートを公開した。この事例では、大企業顧客の社内ネットワークが同時に6つの攻撃グループに侵入されていた。その中には国家の支援を受けた攻撃グループが含まれており、機密情報や電子メールの内容が243日間にわたって盗まれていた恐れがあるという。
MicrosoftがDARTについての発表を行ったのは、2019年3月のことだ。DARTは、同社の最高経営責任者(CEO)Satya Nadella氏が発表していた、年間10億ドルの予算を投じた企業のサイバーセキュリティ向上を目指す取り組みの一環だった。
Microsoftは、ハッカーがどのように活動しているかを紹介するため、被害企業の名前を明かさずにDARTの最新の活動をさらに公表していく予定だという。
最初のレポートでは、管理者の認証情報を盗んで攻撃対象のネットワークに侵入し、機密情報や電子メールの内容を盗んだAPT攻撃グループについて詳しく紹介している。
注目すべきは、この被害企業が多要素認証(MFA)を使用していなかったことだろう。もしMFAを使用していれば、情報漏えいを防げていたかもしれない。同社は米国時間2月にも、RSA Conferenceで、侵害されているアカウントの99.9%はMFAを使用しておらず、企業のアカウントでMFAを使用しているのは11%にとどまっていることを明らかにしている。
DARTに声が掛かったのは、その被害企業が、243日経ってもAPT攻撃グループをネットワークから排除できていないというタイミングだった。被害企業は、その7カ月前にインシデント対応サービスを提供する企業と契約を結んでいた。攻撃グループは、Microsoftのチームが到着した日に排除された。また同時に、ネットワークには他にも5つの脅威アクターが侵入していたことが明らかになった。
このケースのもっとも重要な攻撃グループは、まずパスワードスプレー攻撃を使って「Office 365」の管理者の認証情報を手に入れ、その後メールボックスを検索し、電子メール経由で従業員の間で共有されていた認証情報を見つけていた。DARTは、この攻撃グループが特定の市場向けの知的財産を探していたことも明らかにした。
