パスワードを忘れた? アカウント作成
15042495 story
マイクロソフト

Microsoft、SolarWindsの悪用攻撃によりソースコードを閲覧される 10

ストーリー by nagazou
悪用 部門より
nMicrosoftはブログで12月31日、SolarWinds製のソフトウェア更新を悪用した大規模攻撃により、Microsoftのソースコードリポジトリーにアクセスされた可能性があると発表した。SolarWinds問題を調査する過程で、異常なアクティビティが検出された内部アカウントのうち一つが、ソースコードを表示するために使用されていたことが判明したとしている。このアカウントにはソースコードやエンジニアリングシステムを書き換える権限は無かったことから、変更は行われていないとしている。また顧客データなどへのアクセスはされていないとしている(MicrosoftブログCNET)。
  • by Anonymous Coward on 2021年01月05日 13時48分 (#3953268)

    最近は実行ファイルを逆アセンブルして可読性の高いソースコードを得るハードルが低くなってきたので相対的にオリジナルのソースコードの価値が下がってる気がする。
    昔は「ソースコードを見られた! 大変だ、知財を侵害された上に、脆弱性も発見されるかもしれない」だったのが今は「へー。あ、そう」って感じ。

    ここに返信
    • by Anonymous Coward on 2021年01月05日 22時14分 (#3953584)

      Microsoft自身がブログ [microsoft.com]で、ソースコードを見られても影響ないって言っていますね。

      This means we do not rely on the secrecy of source code for the security of products,
      and our threat models assume that attackers have knowledge of source code.
      So viewing source code isn’t tied to elevation of risk.
      (前略)我々は製品のセキュリティにおいてソースコードの秘匿性に依拠しておらず、
      我々の脅威モデルは攻撃者がソースコードの知識を持っていると仮定しています。
      したがって、ソースコードを閲覧されることがリスクを高めることはありません。

  • by Anonymous Coward on 2021年01月05日 14時05分 (#3953286)

    >このアカウントにはソースコードやエンジニアリングシステムを書き換える権限は無かった

    リードオンリーの権限はUNIXじゃ普通だけど、Webサービスや内製システムを運用すると意外と適当になっている。
    そもそも読み取りだけの権限を想定してない作りだったり、アカウントに分けて適用できなかったり。

    ここに返信
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...