マイクロソフトロシアの国家支援行為者であるMidnight Blizzardによるシステムへの侵入に対するSECの開示事例 (2024.01.19, 2024.03.08): まるちゃんの情報セキュリティ気まぐれ日記

March 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

2024.04.03

マイクロソフトロシアの国家支援行為者であるMidnight Blizzardによるシステムへの侵入に対するSECの開示事例 (2024.01.19, 2024.03.08)

こんにちは、丸山満彦です。

このブログでは紹介していませんが、マイクロソフトが2023.11下旬に経営幹部、サイバーセキュリティ関係者、法務関係者等の一部のメールシステムに侵入し、企業システムに侵入していることに気づき、調査を行ったようです。その結果、2024.01.12に、それがロシアの国家支援行為者であるMidnight Blizzardによるものと特定し、この状況を受けて、2024.01.17にSECに対して、臨時報告書(Form 8-K)を提出しています。

その後、内容として修正すべきことが生じたので、2024.03.08に訂正臨時報告書 (Form 8-K/A) を提出しています。ブログでの発表と合わせて紹介しておきます...

● EDGAR

最初の提出

・2024.01.17 8-K Current Report

Item 1.05. Material Cybersecurity Incidents	項目1.05. 重要なサイバーセキュリティインシデント
On January 12, 2024, Microsoft (the “Company” or “we”) detected that beginning in late November 2023, a nation-state associated threat actor had gained access to and exfiltrated information from a very small percentage of employee email accounts including members of our senior leadership team and employees in our cybersecurity, legal, and other functions, on the basis of preliminary analysis. We were able to remove the threat actor’s access to the email accounts on or about January 13, 2024. We are examining the information accessed to determine the impact of the incident. We also continue to investigate the extent of the incident. We have notified and are working with law enforcement. We are also notifying relevant regulatory authorities with respect to unauthorized access to personal information. As of the date of this filing, the incident has not had a material impact on the Company’s operations. The Company has not yet determined whether the incident is reasonably likely to materially impact the Company’s financial condition or results of operations.	2024年1月12日、マイクロソフト（以下「当社」または「われわれ」）は、予備的分析に基づき、2023年11月下旬から、国家に関連する脅威行為者が、当社の経営幹部チームのメンバーやサイバーセキュリティ、法務、その他の機能の従業員を含むごく一部の従業員の電子メールアカウントにアクセスし、そこから情報を流出させたことを検知した。我々は、2024年1月13日頃に脅威行為者による電子メールアカウントへのアクセスを削除することができた。インシデントの影響を判断するため、アクセスされた情報を調査している。また、インシデントの範囲についても調査を続けている。当社は法執行機関に通知し、協力している。また、個人情報への不正アクセスに関しては、関連する認定機関にも通知している。本書提出日現在、このインシデントが当社の業務に重大な影響を及ぼすことはない。インシデントが当社の財政状態または経営成績に重大な影響を及ぼす合理的可能性があるかどうかについては、当社はまだ判断していない。
This Form 8-K contains forward-looking statements, which are any predictions, projections or other statements about future events based on current expectations and assumptions that are subject to risks and uncertainties, which are described in our filings with the Securities and Exchange Commission. Forward-looking statements speak only as of the date they are made. Readers are cautioned not to put undue reliance on forward-looking statements, and the Company undertakes no duty to update any forward-looking statement to conform the statement to actual results or changes in the Company’s expectations.	このForm 8-Kには、将来の見通しに関する記述が含まれている。将来の見通しに関する記述とは、現在の予想や仮定に基づく将来の出来事に関する予測、予想、その他の記述であり、証券取引委員会への提出書類に記載されているリスクや不確実性の影響を受ける。将来予想に関する記述は、それらが作成された時点のものである。読者は、将来予想に関する記述を過度に信頼しないよう注意されたい。当社は、将来予想に関する記述を実際の結果または当社の予想の変更に適合させるために更新する義務を負わない。
Item 7.01. Regulation FD Disclosure	項目7.01. FD規制の開示
On January 19, 2024, the Company posted a blog regarding the incident. A copy of the blog is furnished as Exhibit 99.1 to this report.	2024年1月19日、当社はインシデントに関するブログを掲載した。ブログのコピーは本報告書の別紙99.1として提出されている。
In accordance with General Instruction B.2 of Form 8-K, the information in this Item 7.01 and Exhibit 99.1, shall not be deemed to be “filed” for purposes of Section 18 of the Securities Exchange Act of 1934, as amended (the “Exchange Act”), or otherwise subject to the liability of that section, and shall not be incorporated by reference into any registration statement or other document filed under the Securities Act of 1933, as amended, or the Exchange Act, except as shall be expressly set forth by specific reference in such filing.	Form 8-Kの一般教示B.2に従い、本項目7.01および別紙99.1の情報は、改正1934年証券取引所法（以下「取引所法」）第18条に照らして「提出された」とはみなされず、また同条の法的責任の対象ともみなされず、当該提出書類において特定の参照により明示的に記載される場合を除き、改正1933年証券取引所法または取引所法に基づき提出された登録届出書またはその他の書類に参照により組み込まれることはないものとする。
Item 9.01. Financial Statements and Exhibits	項目9.01. 財務諸表および添付書類
(d) Exhibits:	(d) 別紙
99.1 Microsoft Blog Post dated January 19, 2024 titled “Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard”	99.1 2024年1月19日付マイクロソフト・ブログ記事「国家行為者ミッドナイト・ブリザードによる攻撃を受けたマイクロソフトの措置」。
104 Cover Page Interactive Data File (embedded within the Inline XBRL document)	104 表紙ページインタラクティブ・データ・ファイル（インラインXBRL文書内に埋め込まれている）

添付したブログの記事

・Exhibit 99.1

Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard	国家的行為者による攻撃を受けたマイクロソフトの行動 Midnight Blizzard
The Microsoft security team detected a nation-state attack on our corporate systems on January 12, 2024, and immediately activated our response process to investigate, disrupt malicious activity, mitigate the attack, and deny the threat actor further access. Microsoft has identified the threat actor as Midnight Blizzard, the Russian state-sponsored actor also known as Nobelium. As part of our ongoing commitment to responsible transparency as recently affirmed in our Secure Future Initiative (SFI), we are sharing this update.	マイクロソフトのセキュリティチームは、2024年1月12日にマイクロソフトの企業システムに対する国家による攻撃を検知し、調査、悪意のある活動の妨害、攻撃の軽減、脅威行為者のさらなるアクセスを拒否するための対応プロセスを直ちに開始した。マイクロソフトは、脅威行為者をロシアの国家支援行為者であり、Nobeliumとしても知られるMidnight Blizzardと特定した。セキュア・フューチャー・イニシアチブ（SFI）で最近確認されたように、責任ある透明性への継続的なコミットメントの一環として、我々はこの最新情報を共有する。
Beginning in late November 2023, the threat actor used a password spray attack to compromise a legacy non-production test tenant account and gain a foothold, and then used the account’s permissions to access a very small percentage of Microsoft corporate email accounts, including members of our senior leadership team and employees in our cybersecurity, legal, and other functions, and exfiltrated some emails and attached documents. The investigation indicates they were initially targeting email accounts for information related to Midnight Blizzard itself. We are in the process of notifying employees whose email was accessed.	2023年11月下旬から、脅威行為者はパスワードスプレー攻撃を使用して、レガシーの非本番テスト用テナントアカウントを侵害し、足がかりを得た後、そのアカウントの権限を使用して、当社のシニアリーダーシップチームのメンバーやサイバーセキュリティ、法務、その他の機能の従業員を含む、ごく一部のマイクロソフトの企業メールアカウントにアクセスし、一部のメールや添付文書を流出させた。調査の結果、彼らは当初、ミッドナイト・ブリザード社自体に関連する情報を求めてメールアカウントを標的にしていたことが判明している。我々は、電子メールにアクセスされた従業員に通知しているところである。
The attack was not the result of a vulnerability in Microsoft products or services. To date, there is no evidence that the threat actor had any access to customer environments, production systems, source code, or AI systems. We will notify customers if any action is required.	今回の攻撃は、マイクロソフトの製品やサービスの脆弱性に起因するものではない。現在までのところ、脅威行為者が顧客環境、本番システム、ソースコード、AIシステムにアクセスしたという証拠はない。何らかの対応が必要な場合は、顧客に通知する。
This attack does highlight the continued risk posed to all organizations from well-resourced nation-state threat actors like Midnight Blizzard.	この攻撃は、Midnight Blizzardのような十分な資金を持つ国家脅威行為者がすべての組織にもたらす継続的なリスクを浮き彫りにしている。
As we said late last year when we announced Secure Future Initiative (SFI), given the reality of threat actors that are resourced and funded by nation states, we are shifting the balance we need to strike between security and business risk – the traditional sort of calculus is simply no longer sufficient. For Microsoft, this incident has highlighted the urgent need to move even faster. We will act immediately to apply our current security standards to Microsoft-owned legacy systems and internal business processes, even when these changes might cause disruption to existing business processes.	昨年末にセキュア・フューチャー・イニシアチブ（SFI）を発表した際に述べたように、国家から資金を調達し、資金提供を受けている脅威行為者の現実を踏まえ、我々はセキュリティとビジネスリスクの間で取るべきバランスを変えようとしている。マイクロソフトにとって、今回のインシデントは、より迅速な対応が急務であることを浮き彫りにした。マイクロソフトが所有するレガシーシステムや社内のビジネスプロセスに対して、現行のセキュリティ標準を適用するため、たとえその変更が既存のビジネスプロセスを混乱させる可能性がある場合でも、直ちに行動を起こす。
This will likely cause some level of disruption while we adapt to this new reality, but this is a necessary step, and only the first of several we will be taking to embrace this philosophy.	この新しい現実に適応する間、ある程度の混乱は生じるだろうが、これは必要なステップであり、この哲学を受け入れるために我々が取るいくつかのステップのうちの最初のステップに過ぎない。
We are continuing our investigation and will take additional actions based on the outcomes of this investigation and will continue working with law enforcement and appropriate regulators. We are deeply committed to sharing more information and our learnings, so that the community can benefit from both our experience and observations about the threat actor. We will provide additional details as appropriate.	私たちは調査を続けており、この調査の結果に基づいてさらなる措置を講じるとともに、法執行機関および適切な規制当局との協力を継続する。私たちは、脅威行為者についての私たちの経験と見解の両方から地域社会が恩恵を受けられるよう、より多くの情報と私たちの学びを共有することに深くコミットしている。適宜、追加情報を提供する予定である。

Microsoftのブログ

● Microsoft - Microsoft Security Response Center Blog

・2024.01.19 Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard

修正の提出

・2024.03.08 Current report - amendment

EXPLANATORY NOTE	注記
Microsoft Corporation (the “Company,” “we,” or “our”) is filing this Form 8-K/A as an amendment to the Current Report on Form 8-K filed by the Company with the U.S. Securities and Exchange Commission (the “SEC”) on January 19, 2024 (the “Original Filing”).	マイクロソフトコーポレーション（以下「当社」）は、2024年1月19日に当社が米国証券取引委員会（以下「SEC」）に提出したフォーム8-Kカレントレポート（以下「当初提出」）の修正として、本フォーム8-K/Aを提出する。
Item 1.05. Material Cybersecurity Incidents	項目1.05. 重要なサイバーセキュリティインシデント
As disclosed in the Original Filing, the Company detected that beginning in late November 2023, a nation-state threat actor had gained access to and exfiltrated information from a very small percentage of employee email accounts including members of our senior leadership team and employees in our cybersecurity, legal, and other functions. Since the date of the Original Filing, the Company has determined that the threat actor used and continues to use information it obtained to gain, or attempt to gain, unauthorized access to some of the Company’s source code repositories and internal systems. The threat actor’s ongoing attack is characterized by a sustained, significant commitment of the threat actor’s resources, coordination, and focus. Our active investigations of the threat actor’s activities are ongoing, findings of our investigations will continue to evolve, and further unauthorized access may occur.	当初提出書類で開示されたとおり、当社は、2023年11月下旬から、国家の脅威行為者が、当社の経営幹部チームのメンバーやサイバーセキュリティ、法務、その他の機能の従業員を含むごく一部の従業員の電子メールアカウントにアクセスし、情報を流出させたことを検知した。原申告日以降、当社は、脅威行為者が入手した情報を使用して、当社のソースコードリポジトリおよび内部システムの一部に不正アクセスし、または不正アクセスを試みていると判断した。脅威行為者の継続的な攻撃は、脅威行為者のリソース、調整、および集中力の持続的かつ重大なコミットメントによって特徴付けられる。脅威行為者の活動に関する当社の積極的な調査は継続中であり、調査結果は今後も進展し、さらなる不正アクセスが発生する可能性がある。
We have increased our security investments, cross-enterprise coordination and mobilization, and have enhanced our ability to defend ourselves and secure and harden our environment against this advanced persistent threat. We continue to coordinate with federal law enforcement with respect to its ongoing investigation of the threat actor and the incident.	われわれは、セキュリティへの投資、エンタープライズを横断した調整と動員を強化し、この高度な持続的脅威から身を守り、われわれの環境を安全にし、強化する能力を高めてきた。当社は、脅威行為者とインシデントに関する連邦法執行機関の進行中の調査に関して、引き続き連邦法執行機関と連携している。
As of the date of this filing, the incident has not had a material impact on the Company’s operations. The Company has not yet determined that the incident is reasonably likely to materially impact the Company’s financial condition or results of operations.	本書提出日現在、このインシデントが当社の業務に重大な影響を及ぼすことはない。当社は、インシデントが当社の財政状態または経営成績に重大な影響を及ぼす可能性が合理的に高いとまだ判断していない。
This Form 8-K contains forward-looking statements, which are any predictions, projections or other statements about future events based on current expectations and assumptions that are subject to risks and uncertainties, which are described in our filings with the SEC. Forward-looking statements speak only as of the date they are made. Readers are cautioned not to put undue reliance on forward-looking statements, and the Company undertakes no duty to update any forward-looking statement to conform the statement to actual results or changes in the Company’s expectations.	このForm 8-Kには、将来の見通しに関する記述が含まれている。将来の見通しに関する記述とは、現在の予想や仮定に基づく将来の出来事に関する予測、予想、その他の記述のことであり、リスクや不確実性の影響を受ける。将来予想に関する記述は、それらが作成された時点のものである。読者は、将来予想に関する記述を過度に信頼しないよう注意されたい。当社は、将来予想に関する記述を実際の結果または当社の予想の変更に適合させるために更新する義務を負わない。
Item 7.01. Regulation FD Disclosure	項目7.01. FD規制の開示
On March 8, 2024, the Company posted a blog regarding the incident. A copy of the blog is furnished as Exhibit 99.1 to this report. In addition, as part of our ongoing commitment to responsible transparency to our customers and other stakeholders, we may provide additional updates regarding the incident and relevant developments directly to customers or at Microsoft blogs located here: https://msrc.microsoft.com/blog/ and https://www.microsoft.com/en-us/security/blog/.	2024年3月8日、当社はインシデントに関するブログを掲載した。ブログのコピーは本報告書の別紙99.1として提出されている。さらに、顧客およびその他の利害関係者に対する責任ある透明性への継続的なコミットメントの一環として、インシデントおよび関連する進展に関する追加的な最新情報を顧客に直接、またはマイクロソフトのブログ（https://msrc.microsoft.com/blog/、https://www.microsoft.com/en-us/security/blog/）で提供する場合がある。
In accordance with General Instruction B.2 of Form 8-K, the information in this Item 7.01 and Exhibit 99.1, shall not be deemed to be “filed” for purposes of Section 18 of the Securities Exchange Act of 1934, as amended (the “Exchange Act”), or otherwise subject to the liability of that section, and shall not be incorporated by reference into any registration statement or other document filed under the Securities Act of 1933, as amended, or the Exchange Act, except as shall be expressly set forth by specific reference in such filing.	Form 8-Kの一般教示B.2に従い、本項目7.01および別紙99.1の情報は、改正1934年証券取引所法（以下「取引所法」）第18条に照らして「提出された」とはみなされず、また同条の法的責任の対象ともみなされず、当該提出書類において特定の参照により明示的に記載される場合を除き、改正1933年証券取引所法または取引所法に基づき提出された登録届出書またはその他の書類に参照により組み込まれることはないものとする。
Item 9.01. Financial Statements and Exhibits	項目9.01. 財務諸表および添付書類
(d) Exhibits:	(d) 別紙：
99.1 Microsoft Blog dated March 8, 2024 titled “Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard”	99.1 2024年3月8日付マイクロソフト・ブログ記事「国家行為者ミッドナイト・ブリザードによる攻撃を受けたマイクロソフトの措置の更新版」。
104 Cover Page Interactive Data File (embedded within the Inline XBRL document)	104 表紙ページインタラクティブ・データ・ファイル（インラインXBRL文書内に埋め込まれている）

添付したブログの記事

・Exhibit 99.1

Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard	国家的行為者Midnight Blizzardによる攻撃を受けたマイクロソフトの措置に関する最新情報
/ By MSRC / March 8, 2024 / 2 min read	/ MSRCによって / 2024年3月8日 / 2分で読む
This blog provides an update on the nation-state attack that was detected by the Microsoft Security Team on January 12, 2024. As we shared, on January 19, the security team detected this attack on our corporate email systems and immediately activated our response process. The Microsoft Threat Intelligence investigation identified the threat actor as Midnight Blizzard, the Russian state-sponsored actor also known as NOBELIUM.	このブログでは、2024年1月12日にマイクロソフト・セキュリティ・チームが検知した国家攻撃に関する最新情報を提供する。お伝えしたように、1月19日、セキュリティチームは、企業の電子メールシステムに対するこの攻撃を検知し、直ちに対応プロセスを開始した。マイクロソフト脅威インテリジェンスの調査により、脅威行為者はNOBELIUMとしても知られるロシアの国家支援行為者であるMidnight Blizzardであることが判明した。
As we said at that time, our investigation was ongoing, and we would provide additional details as appropriate.	その時点で述べたように、我々の調査は進行中であり、適切であれば追加の詳細を提供する予定である。
In recent weeks, we have seen evidence that Midnight Blizzard is using information initially exfiltrated from our corporate email systems to gain, or attempt to gain, unauthorized access. This has included access to some of the company’s source code repositories and internal systems. To date we have found no evidence that Microsoft-hosted customer-facing systems have been compromised.	ここ数週間、我々はミッドナイト・ブリザードが、当初我々の会社の電子メールシステムから流出した情報を使って、不正アクセスを獲得、あるいは獲得しようとしている証拠を目にしている。これには、同社のソースコードリポジトリや内部システムへのアクセスも含まれている。現在までのところ、マイクロソフトがホストする顧客向けシステムが侵害されたという証拠は見つかっていない。
It is apparent that Midnight Blizzard is attempting to use secrets of different types it has found. Some of these secrets were shared between customers and Microsoft in email, and as we discover them in our exfiltrated email, we have been and are reaching out to these customers to assist them in taking mitigating measures. Midnight Blizzard has increased the volume of some aspects of the attack, such as password sprays, by as much as 10-fold in February, compared to the already large volume we saw in January 2024.	ミッドナイト・ブリザード社が、発見したさまざまな種類の秘密を利用しようとしていることは明らかだ。これらの秘密の一部は、顧客とマイクロソフトの間で電子メールで共有されていたものであり、流出した電子メールからそれらを発見したため、我々はこれらの顧客に対し、低減措置を講じるよう支援するために連絡を取っており、現在も連絡を取っている。ミッドナイト・ブリザードは、2024年1月にすでに大量に発生していたのに比べ、2月にはパスワードの散布など、攻撃のいくつかの側面の量を10倍にも増やしている。
Midnight Blizzard’s ongoing attack is characterized by a sustained, significant commitment of the threat actor’s resources, coordination, and focus. It may be using the information it has obtained to accumulate a picture of areas to attack and enhance its ability to do so. This reflects what has become more broadly an unprecedented global threat landscape, especially in terms of sophisticated nation-state attacks.	ミッドナイト・ブリザードの進行中の攻撃は、脅威行為者のリソース、調整、集中力の持続的かつ大幅な投入を特徴としている。脅威行為者は、入手した情報を使って、攻撃すべき地域のイメージを蓄積し、その能力を高めているのかもしれない。これは、特に洗練された国家による攻撃という点で、かつてないグローバルな脅威の状況を反映している。
Across Microsoft, we have increased our security investments, cross-enterprise coordination and mobilization, and have enhanced our ability to defend ourselves and secure and harden our environment against this advanced persistent threat. We have and will continue to put in place additional enhanced security controls, detections, and monitoring.	マイクロソフト全体では、セキュリティへの投資、エンタープライズ間の連携と動員を強化し、この高度な持続的脅威から身を守り、環境を保護し、強化する能力を高めてきた。我々は、さらに強化されたセキュリティ管理、検知、モニタリングを実施しており、今後も継続的なモニタリングを実施していく。
Our active investigations of Midnight Blizzard activities are ongoing, and findings of our investigations will continue to evolve. We remain committed to sharing what we learn.	ミッドナイト・ブリザードの活動に関する我々の積極的な調査は継続中であり、調査の結果は今後も進展していく。われわれは引き続き、われわれが学んだことを共有することを約束する。