ヒューレット・パッカード・エンタープライズ（HPE）とマイクロソフトが同じ国家支援型脅威アクターによる侵害を報告した。「ミッドナイト・ブリザード」という名称で知られ（別名「コージー・ベア」）、2020年にSolarWinds製品へのハッキング事件を起こしたグループだ。

両社は米国証券取引委員会（SEC）への提出書類で侵害を開示している。少し前にSECの新たな開示規則が発効、上場企業に対し重大なサイバーセキュリティインシデントの報告を義務付けていた。

HPEは最近提出した「Form 8-K」の中で、2023年12月12日、クラウドベースの電子メール環境に不正アクセスされたとの通報を受けたと開示している。ミッドナイト・ブリザードとみられる国家アクターによる攻撃が疑われるとした。

同社が外部のサイバーセキュリティ専門家の支援を受けて調査した結果、2023年5月から「ごく一部のメールボックス」のデータを窃取されていたことがわかった。標的となったのはサイバーセキュリティチーム、市場開拓チーム、各種事業部門等に所属する従業員だという。

また、以前に発覚し、やはり5月に発生していた同じグループによるSharePointファイルへの不正アクセスおよび窃取と関連がある可能性が高いとした。HPEは当時このアクティビティを排除するため、直ちに封じ込め措置と修復対応を実施したとしている。

インシデントの影響と範囲の全容については調査中であり、法執行機関に協力するとともに、規制当局への報告義務について評価・判断を進めているとした。

「本書提出日現在、本件は当社の経営に重要な影響を及ぼしておらず、本件が当社の財務状況又は経営成績に重大な影響を及ぼす恐れがあると合理的に判断したものではありません」と記載している。

同一のグループによるマイクロソフトへの不正侵入

マイクロソフトも同様に、1月に提出したForm 8-Kで侵害を開示している。不正アクセスを検知、昨年11月下旬から「ごく一部の従業員メールアカウント」のデータを窃取されていたことがわかった。上級幹部チームのメンバーや、サイバーセキュリティ、法務などの担当者が標的にされている。

マイクロソフトのセキュリティチームは犯行グループをミッドナイト・ブリザードと特定している。同社のブログ記事によれば、同グループはパスワードスプレー攻撃を使用して非本番環境の古いテスト用アカウントを侵害、これを足掛かりに同アカウントの権限を利用して企業メールアカウントにアクセス、侵害したという。

調査では、ミッドナイト・ブリザード自身に関する情報を狙ってメールアカウントを標的にしていたことも明らかになった。

同社は今回の侵害は製品やサービスの脆弱性に起因するものではないと強調。「現在のところ、顧客環境や本番システム、ソースコード、AIシステムに脅威アクターのアクセスがあったという形跡は見つかっていません」と述べている。

また、あらゆる企業はミッドナイト・ブリザードのような十分なリソースを持つ国家アクターによって恒常的なリスクに晒されており、今回のインシデントではそのことが改めて浮き彫りになったとして注意を呼び掛けた。「マイクロソフトに関しては、さらに迅速な行動が緊急に必要であることが明らかになりました。所有しているレガシーシステムや社内のビジネスプロセスに対し、現行のセキュリティ基準を適用する対応を直ちに実施します。既存のビジネスプロセスが混乱しかねないケースであっても、速やかに変更を行います」

HPE and Microsoft breached by the same Russian-linked hacking group