微软将对Office 365用户通知国家骇客攻击

微软本周公告，将在Microsoft Defender for Office 365产品中加入国家威胁的通知，如果其安全团队侦测到有国家支持的骇客活动，将对Office 365客户发出警告，让他们提早准备。

微软指出，国家威胁是指源自于特定国家，且明显意在进行有利该国利益的网络威胁活动，这类攻击也是微软追踪到手法最进阶、且行踪最隐密的威胁活动。微软威胁情报中心长期追踪这类威胁，建立了完整的活动样貌，他们也和微软各安全团队密切合作，以实作侦测及缓解方法来保护客户。

微软计划为全球Microsoft Defender for Office 365安全入口网站加入通知，以便在客户租户（tenant）中侦测到疑似国家骇客活动时发出通知。根据微软早先的蓝图这项功能目前还在开发中，但预计本月就会全球上线。

但微软早就对企业用户发出类似通知。该公司2019年指出，1万家企业用户接到他们成为攻击目标或已被攻陷的通知

微软选在此时为Office 365加入国家骇客通知，令人联想是否和SolarWinds事件有关。SolarWinds事件于去年12月初爆发时，SolarWinds向美国证管会呈交的文件指出，国家支持的骇客骇入该公司Office 365邮件系统后，得以存取Office 365生产力软件内的其他文件。

另一家邮件安全商Mimecast也指出，该公司系统提供给客户登入Office 365 Exchange Web Services的凭证遭骇客窃取，使客户Office 365可被登入且劫持邮件。路透社报导，骇入Mimecast和SolarWinds的骇客可能是同一帮人。

但是微软Office 365主管上周对华尔街日报驳斥该论点，表示微软调查后没有发现实质证明Office 365被骇入。微软相信是某名Office 365用户账号被骇成为破口，才导致SolarWinds内部网络被植入恶意软件如Sunburst。

安全公司仅能证实SolarWinds事件是国家骇客所为，至于是哪一国则迄今没有定论，美国网络安全及基础架构安全署（CISA）及联邦调查局（FBI）认为可能是俄罗斯，不过上周路透社引述其他调查消息来源报导，SolarWinds的漏洞也被中国骇客滥用。