マイクロソフトは、サイバーセキュリティパートナー向けの早期警告システムであるMicrosoft Active Protections Program(MAPP)からの漏洩により、中国のハッカーがSharePointサーバーソフトウェアの未修正の脆弱性を悪用した可能性があるかどうかを調査している。.
そのテクノロジー企業の最新のパッチは、 完全に解決 、同社のシステムが高度なグローバルサイバースパイ活動に晒されることになった。
マイクロソフトは火曜日のブログ投稿で、この攻撃はリネン・タイフーンとバイオレット・タイフーンという2つの中国政府系グループと、同じく中国を拠点とすると考えられる第3のグループによって行われていると述べた。.
マイクロソフト、サイバーセキュリティパートナープログラムからの漏洩疑惑を調査
同社は現在、パッチの公開に先立ってパートナーと共有した MAPP プログラムの詳細が漏洩し、これらの攻撃の拡大を加速させた可能性があるかどうかを調査している。.
マイクロソフトは、「すべてのパートナー プログラムの有効性とセキュリティを継続的に評価し、必要に応じて必要な改善を行っている」と認めた。
SharePoint の脆弱性は 、ベトナムのセキュリティ研究者であるディン・ホー・アン・コア氏が、トレンドマイクロのゼロデイ・イニシアチブが主催するベルリンのサイバーセキュリティカンファレンス「Pwn2Own」でこの脆弱性を実演したことで、5月に初めて明らかになった。コア氏には10万ドルの賞金が授与され、マイクロソフトは7月に最初のパッチをリリースした。
しかし、トレンドマイクロの脅威認識責任者であるダスティン・チャイルズ氏は、MAPP パートナーは 6 月 24 日、7 月 3 日、7 月 7 日の 3 波にわたってこの脆弱性について知らされていたと述べています。dentにも、マイクロソフトは最初の悪用の試みが 7 月 7 日に始まったと指摘しています。.
チャイルズ氏は、最も可能性の高いシナリオは「MAPPプログラムの誰かがその情報を利用してエクスプロイトを作成した」ことだと示唆した。ベンダー名は挙げなかったものの、エクスプロイトの試みは主に中国から発信されており、漏洩も同地域の企業からのものだったと「推測するのは妥当」だと指摘した。.
マイクロソフトがMAPP関連の漏洩に対処するのは今回が初めてではない。10年前、同社は中国に本社を置く杭州DPTech Technologies Co., Ltd.を秘密保持契約違反を理由に解雇した。当時、マイクロソフトはリスクの存在を認め、脆弱なデータが悪用される可能性があることを認識していた。.
2008年に開始されたMAPPプログラムは、セキュリティベンダーに対し、脆弱性の技術的詳細を事前に通知し、場合によっては概念実証コードのサンプルを提供することで、顧客保護を強化することを目的としていました。今になって情報漏洩が起きれば、攻撃者ではなく防御者の力を強化するというプログラムの使命に真っ向から反することになります。.
マイクロソフトは漏洩元をdentたかどうかは明らかにしていないが、いかなる秘密保持契約違反も深刻に受け止めると強調した。.
マイクロソフトがMAPPプログラムの整合性を再検討する中、過去の違反が再浮上
2021年、マイクロソフトは少なくとも2社の中国のMAPPパートナーが自社のExchangeサーバーの脆弱性に関する情報を漏洩した疑いがあると発表しました。このことがきっかけで、マイクロソフトはハフニウムと呼ばれる中国の諜報組織によるものとし、世界的なハッキング攻撃が発生しました。これは同社にとって史上最悪の情報漏洩の一つとなり、欧州銀行監督機構やノルウェー議会を含む数万台のExchangeサーバーがハッキングされました。.
後dent、同社は MAPPプログラムの。しかし、最終的に変更が行われたかどうか、また漏洩が発覚したかどうかについては明らかにしなかった。
アトランティック・カウンシルの報告書によると、2021年に施行された中国の法律では、企業とセキュリティ研究者は新たに発見された脆弱性を48時間以内に工業情報化部に報告することが義務付けられている。北京サイバークンルン・テクノロジー社など、MAPPに依然として関与している一部の中国企業は、国家安全部が運営する中国国家脆弱性データベースにも参加しており、二重の報告義務に関する懸念が高まっている。.
チューリッヒ工科大学(ETH)セキュリティ研究センターの研究員、エウジェニオ・ベニンカーサ氏は、中国企業がマイクロソフトのdent保持規則と国家の報告義務をどのように調整しているかについて、透明性の欠如を指摘する。「これらの企業の一部はセキュリティ機関と連携しており、中国の脆弱性管理は高度に中央集権化されている」と同氏は述べた。「これは明らかに、より綿密な調査が必要な分野だ」
