ハッカーが37GBのマイクロソフトのソースコードを漏洩

ハッキンググループが、一連の大規模侵害事件の最新のものとして、BingやCortanaを含む数百のプロジェクトに関連するコードを含む37ギガバイトのマイクロソフトのソースコードを漏洩したとされている。

月曜日の夜、ハッキンググループ「Lapsus$」が9GBのzipアーカイブのtorrentを公開し、ダウンロード可能にしました。この7zipアーカイブには、Microsoftから入手した250以上の社内プロジェクトが含まれているとされています。

データはMicrosoftのAzure DevOpsサーバーから取得されたとされており、これは日曜日にグループが公開したTelegramチャンネルのスクリーンショットで確認された。このプロジェクトのソースコードは、Bing検索、Bingマップ、Cortanaバーチャルアシスタントに関連するコードなど、注目度の高いプロジェクトから社内プロジェクトまで多岐にわたっていた。

セキュリティ研究者らは報告書の中で、圧縮されていない37ギガバイトのコレクションには、正規のMicrosoftソースコードが含まれているようだと述べている。また、一部のプロジェクトには、Microsoftのエンジニアがアプリを公開するためのメールやドキュメントも含まれていた。

ただし、このコードは主にインフラストラクチャ、Web サイト、モバイル アプリのコードで構成されているため、Windows や Microsoft Office などのローカルで実行されるデスクトップ ソフトウェアには適用されないようです。

マイクロソフトは、このグループの主張を認識しており、侵入と漏洩の疑いについて積極的に調査していると述べている。

この大規模なデータ漏洩は、大手テクノロジー企業から膨大な量のデータを取得・漏洩することで短期間で悪名を高めてきたLapsus$による最新の事例です。こうした事例には、3月初旬にSamsungから漏洩した190GBのデータに加え、Mercado Libre、NVIDIA、Ubisoft、Vodafoneに対する攻撃も含まれます。

攻撃の標的は主にソースコードストアであるため、ハッカーが内部ソースからアクセスを得ているという説があります。このグループは以前、標的企業の従業員を勧誘し、企業ネットワークへのアクセス権を事実上購入しようと試みていました。