「独占報道：マイクロソフト、2013年に秘密のデータベースがハックされていたことを検知するも秘密裏に対応」

www.reuters.com

「マイクロソフト、2013年に秘密の脆弱性データベースがハックされたことを決して公開せず」

arstechnica.com

マイクロソフト社内のバグ管理データベースが外部から侵入されていたことが、5人の元従業員により発覚しました。

侵入者はここからWindowsなどに関する未公開の脆弱性情報を取得していた可能性があるとみられています。登録されている以上、多くは近いうちに対策される可能性が大ですが、それでも時間差を活かしてゼロデイ攻撃による侵入には使えるでしょう。

侵入は2013年のことで、この時期に開発者向けサイトでの通称「水飲み場攻撃」により米国IT企業（Facebook, Apple, Twitter）が次々にマルウェアの実行を許した件に関連するものとみられています。

この時の攻撃の背後にいたとされるグループは「Morpho」「Butterfly」「Wild Nuetron」「jripbot」といったコードネームがセキュリティ業界では設定されています。2011年以前から今まで活動を続けているとみられるグループですが、その正体は不明なままです。攻撃対象は法律事務所やBitcoin関連企業、投資企業、IT企業など様々で、対象がある国も20以上です。

なおデータベースへの侵入が発覚した後にマイクロソフト社内での調査が行われたものの、盗まれた情報が使われた形跡は見つからなかった、とあります。ただし記事では情報提供者5人のうち3人は、この調査について結論するには小規模すぎるとしています。わざわざ同社の秘密データベースに侵入して使わないというのは謎すぎますね。

また、この事件の発覚後に当該データベースは社内ネットワークから隔離され、アクセスには2件の承認（形式は不明）が必要になった、とのこと。承認の形式によっては、実務以上に官僚的になっているかもしれない、と思わなくもありません。

ちなみに2015年にはMozillaがバグ管理データベースに侵入されましたが、この時は詳細な情報を公開しています。

2013年の侵入は、Macを使う開発者を狙った水飲み場攻撃、という点でセキュリティ業界的には結構話題になったと記憶していますが、あの時は各社ともに「被害はわずか」としていたように思います。しかし少なくとも1件は重大な侵入があったわけで、実は（マイクロソフトも、それ以外も）他にも侵入がある（あった）可能性が懸念されるところですし、そこが侵入被害の怖い面でもあると思います。