Microsoft、「SolarWinds悪用攻撃者にソースコードを見られた」

米Microsoftは2020年12月31日（現地時間）、多数の政府機関や大企業が被害を受けた米SolarWindsの「Orion」のアップデートを悪用したサイバー攻撃で、攻撃者が同社のソースコードの一部を見たと公式ブログで明らかにした。ソースコードの改変や顧客データへのアクセスなどの実質的な被害はないとしている。 ロシアによるとみられるこの攻撃は12月14日に報じられた。Microsoftは16日にOrionを社内で強制遮断し、この攻撃を「Solorigate」として、社内調査で判明した被害状況やその対策を公式ブログで随時発表している。 調査により、少数の内部アカウントで異常なアクティビティが検出され、その中の1つのアカウントが多数のソースコードリポジトリでソースコードを表示していたことが分かったという。このアカウントにはコードを改変する権限がなかったため、改変はされなかった。アカウント

[miau]

「製品のセキュリティをソースコードのセキュリティに依存していないことと」原文は "we do not rely on the secrecy of source code for the security of products" で secrecy を security と誤読したっぽい？ソースコードの秘匿に～かな。

[deep_one]

「製品のセキュリティをソースコードのセキュリティに依存していないことと、われわれの脅威モデルが攻撃者がソースコードの知識を持っていることを前提としていることを意味する」正しい。