HPE からの警告:ロシアの Cozy Bear が Office 365 メール・ボックスに不正アクセス

HPE notifies employees of data breach after Russian Office 365 hack

2025/02/07 BleepingComputer — HPE が従業員たちに通知しているのは、2023年5月のサイバー攻撃でロシアの APT により、同社の Office 365 メール環境からデータが盗まれたインシデントに関する警告である。

ニューハンプシャー州マサチューセッツ州の司法長官事務所に提出された書類によると、2025年1月に HPE は、少なくとも16人の従業員に対して、運転免許証/クレジットカード番号/社会保障番号が盗まれた侵害に関する通知書を送り始めた。

HPE は書簡の中で、「フォレンジック調査により、特定の個人の個人情報が不正アクセスの対象となった可能性があることが判明した。2025年1月29日に HPE は、適用される法令に従い、影響を受けた個人に対して、このインシデントの通知を開始した」と述べている。

このデータ侵害の影響を受けた従業員の人数について尋ねられた HPE の広報担当者は、「アクセスされたのは、HPE チーム・メンバーのメール・ボックス内の限られたグループであり、それらのメール・ボックスに含まれる情報のみが関係している」と述べている。

この攻撃の背後にいるグループ Cozy Bear (別名 Midnight Blizzard/Nobelium/APT29) は、ロシアの対外情報局 (SVR) の一部であると考えられており、2020年の SolarWinds サプライチェーン攻撃などの侵害にも関与している。

HPE への侵害は、2024年1月19日の SEC 提出書類で明らかにされたものだ。12月12日の時点で同社が述べていたのは、ロシアのハッカーとみられる人物が、2023年5月に侵害したアカウントを悪用し、クラウド・ベースの Office 365 メール環境に侵入したとの通知を受けたという内容である。

2024年12月の時点で HPE は、「この APT は 2023年5月から、サイバー・セキュリティ/市場開拓/ビジネス・セグメントなどに携わる個人の、HPE メール・ボックスの一部にアクセスし、データを盗み出したと判断している。攻撃者の貴族に関しては、Midnight Blizzard (別名 Cozy Bear) だと考えている。不正にアクセスされたデータは、ユーザーのメールボックスに含まれる情報に限定されている。引き続き調査を行い、必要に応じて適切に通知していく」と BleeingComputer に語っている。

SharePoint サーバが同じハッカーにより侵害された

SEC への提出書類で HPE は、今回の Office 365 のインシデントに関与する脅威アクターは、2023年5月に同社の SharePoint サーバにアクセスしてファイルを盗み出した、別のインシデントにも関与している可能性が高いと付け加えている。

HPE が情報を開示する数日前に Microsoft も、Cozy Bear ハッカーが企業のメール・アカウントとソース・コード・リポジトリからデータを盗んでいると警告していた。この脅威アクターは、2024年11月の時点でパスワード・スプレー攻撃で Microsoft のネットワークに侵入し、レガシーのテスト・テナント・アカウントにアクセスした。

その一方で HPE は、2018年の時点で中国の脅威アクターがネットワークをハッキングし、そのアクセスを悪用することで、顧客のデバイスに侵入するという侵害に遭っている。

また、2021年には Aruba Central ネットワーク監視プラットフォームの、データ・リポジトリが侵害され、監視対象デバイスとロケーションに関する情報に、脅威アクターがアクセスしたことが判明している。

最近では、2024年2月と 2025年1月に、脅威アクター IntelBroker が HPE の認証情報/ソースコードなどの機密情報を盗んだと主張している。その後に同社は、潜在的なセキュリティ侵害の調査を開始している。

HPE へのデータ侵害については、つい先日の 2025/01/20 にも、「HPE がサイバー攻撃について公表:IntelBroker が主張するデータ侵害とは?」という記事をポストしています。また、Cozy Bear (Midnight Blizzard) については、2024/01/29 の「Microsoft が公表した防御のガイダンス:Midnight Blizzard の狡猾な戦術を封じる」にある通り、Microsoft から、対 Midnight Blizzard ガイダンスが提供されています。よろしければ、Microsoft + Midnight Blizzard と併せて、ご参照下さい。