\n3月、Microsoftは、ミッドナイトブリザード(またはAPT29)として知られるロシア政府のハッカーが、Microsoftのシステムに侵入し、Microsoftの顧客のデータを含むさまざまな情報を盗もうとしていたことを確認しました。
\n\n数か月後、Microsoftはまだ影響を受けた顧客に通知するプロセスを進めており、専門家はMicrosoftがスパムやフィッシング試みのように見えるメールを送信していることを批判しています。
\n\nKevin Beaumontは、元Microsoftの従業員で現在は会社を密かに監視するサイバーセキュリティリサーチャーであり、これらのMicrosoftのメールに注意を払うよう企業に警告しています。
\n\n「Microsoftはロシアによる影響を受けた顧客データの侵害を受け、Microsoft 365顧客データ侵害プロセスに従いませんでした。通知はポータルにありません、代わりにテナント管理者にメールで送信しました。」ビーモントはLinkedInアカウントで書いています。「メールはスパムに入る可能性があり、テナント管理者アカウントはメールなしでセキュアなブレイクグラスアカウントであるべきです。また組織をアカウントマネージャー経由で通知していません。6月までのすべてのメールを確認する必要があります。これは広範囲にわたります。」
\n\nMicrosoftの通知メールの主な問題の1つは、「セキュアリンク」がMicrosoftと明らかな関係がないドメインにリンクされていることです。代わりに、メールには「purviewcustomer.powerappsportals.com」というリンクが含まれています。
\n\n「基本的に、重要なアラートはフィッシング攻撃のように見えます」とある人がXに書いています。
\n\nそのリンクは、悪意あるリンクを見つけるのに役立つサイトであるurlscan.ioに何百回以上提出されています。これは、昨対粋にその公式で正規なMicrosoftのメールを見た多くの組織がそれを悪意のあるものと考えたことを示しています。
\n\nお問い合わせ
\n このMicrosoftの事件についてさらに情報をお持ちですか?ノンワークデバイスから、Lorenzo Franceschi-BicchieraiにはSignal経由で+1 917 257 1382、またはTelegram、KeybaseおよびWire @lorenzofb、またはメールで安全に連絡できます。また、TechCrunch経由でSecureDropを介して連絡を取ることもできます。urlscan.ioの提出からも、少なくとも百社がMicrosoftへのロシア政府のハックの影響を受けていることが示唆されます。米国サイバーセキュリティ機関CISAは以前、ロシアのハッカーが数多くの連邦機関のメールも盗んでいたと述べています。
\n\nビーモントの警告以外にも、Microsoftの顧客が正当に混乱している証拠があります。Microsoftのサポートポータルで、ある顧客が組織が受け取ったメールを共有し、それが本物のMicrosoftのメールかどうかを明らかにしようとしています。
\n\n「このメールにはいくつかの危険信号があり、TenantIDのリクエストや実質的に管理者やハイレベルのメールアドレスのリクエスト、Powerappsページがベアボーンであること、およびこのメールのタイトルや内容に関連するものがすぐに見つからないことなど、私にとって数多くの赤旗があります」とその人は書いています。「これが正規のMicrosoftのメールリクエストかどうかを誰かが確認できますか?」
\n\nビーモントのLinkedInの投稿にコメントしたサイバーセキュリティコンサルタントは、「いくつか」のクライアントがそのメールを受け取り、「全員がそれがフィッシングであると心配していた」と述べました。
\n\n「初めて見ると、受信者に信頼を与えるようなものではありませんでした。受信者はフォーラムで質問したり、Microsoftアカウントマネージャーに連絡したりして、最終的にそのメールが正当であることを確認しました...このような重要な問題を影響を受ける可能性のある顧客に伝えるための奇妙なやり方です」とコンサルタントは書いています。
\n\nMicrosoftの広報担当者は、TechCrunchが通知したときに、何組織が通知を受け取ったか、また会社が影響を受けた顧客に通知する方法を変更する予定があるかどうかについて回答しませんでした。
