マイクロソフトは、企業ネットワークの一部にバックドア付きのSolarWindsツールをインストールした結果、ソースコードの一部が正体不明の第三者によって取得され、持ち出されたことを認めた。
レドモンドのセキュリティチームは、「ソラリゲート」に関する内部調査の詳細を記した木曜日の最終公開アップデートで、11月下旬に「ソースリポジトリ内のファイルの閲覧」を検知し、「2021年1月上旬まで再度の閲覧を試みたものの、その後閲覧は停止した」と述べた。
「単一の製品またはサービスに関連するすべてのリポジトリにアクセスされたケースはありませんでした」とアップデートは警告し、さらに次のように付け加えています。「ソースコードの大部分にはアクセスされませんでした。アクセスされたほぼすべてのコードリポジトリにおいて、リポジトリ検索の結果として閲覧されたのはごく少数のファイルのみでした。」
しかし、一部のソースコードへのアクセスとダウンロードは確認されました。「少数のリポジトリでは、追加のアクセスがあり、場合によってはコンポーネントのソースコードのダウンロードも含まれていました」とアップデートには記載されています。
Microsoft はこれらのリポジトリについて次のように説明しています。
- Azure コンポーネントの小さなサブセット (サービス、セキュリティ、ID のサブセット)
- Intune コンポーネントの小さなサブセット
- Exchangeコンポーネントの小さなサブセット
研究者らが、権限の低いユーザーがコードなどを実行できる欠陥を発見したことを受け、SolarWinds Orionにさらなるパッチがリリースされた。
続きを読む
マイクロソフトのセキュリティチームは、攻撃者がコード内の秘密を探していたため、これらの漏洩を心配する必要はないと示唆しています。マイクロソフトはこれを禁止し、ポリシーを強制するために自動チェックを実行しています。
Windows の巨人はリポジトリも徹底的に調べた結果、実際の運用環境での認証情報が含まれていないことを発見しました。
つまり、評価できるマイクロソフトのソースコードの小さなサンプルを持っている人がいて、そのコードがレドモンドのシステムに害を及ぼさないという保証があるということになります。
攻撃者がAzure、Exchange、Intuneへの攻撃を仕掛け、私たち全員に危害を加えるのに十分なコードを持っているかどうかは、まだ不明です。IT業界の巨人であるMicrosoftは以前、「内部調査の完了後、Microsoftのシステムが他者への攻撃に使用されたという証拠は見つかりませんでした。また、SolarWindsへの大規模ハッキングの首謀者が当社の本番環境サービスや顧客データにアクセスしたという証拠もありませんでした」と主張していました。®
