Microsoftが大規模なSolarWinds攻撃の調査を続行した結果、システムに悪意のあるSolarWindsコードが存在しただけでなく、ハッカーがシステムに侵入し、同社のソースコードを閲覧していた可能性があることが分かりました(The Verge)。
12月31日に公開されたMicrosoft Security Response Centerの記事によると、ハッカーは「多数のソースコードリポジトリのソースコードを閲覧することができた」が、不正アクセスに利用されたアカウントには、コードやシステムを変更する権限はなかったとのこと。すなわちリポジトリに対するリードオンリーの権限があったことになります。
Microsoftは、「非常に洗練された国家的な行為者」が犯人だと指摘していますが、本番サービスや顧客データへアクセスしたという証拠は見つからず、システムが他のシステムを攻撃するために使用されたという兆候も見つからなかったとしています。
また、同社はソースコードが敵対者によって閲覧される可能性を想定していて、製品の安全性を保つためにソースコードの機密性に頼っていないとも説明しています。
今回の攻撃によってMicrosoft製品のソースコードが改変されたという危険性はなさそうですが、Microsoftのソースコードがどの程度閲覧されたのか、閲覧されたソースコードが悪用される可能性があるかどうかなど攻撃の深刻度が不明な部分も残っています。