政府から嫌な指摘を受けたMicrosoft 「セキュリティが弱い」

米政府機関はMicrosoftのサイバーセキュリティが不十分だとして報告書をまとめた。Microsoftの対応は何が良くないのだろうか。

[David Jones，Cybersecurity Dive]

　米政府はMicrosoftのセキュリティに不満を表明した。サイバー攻撃に対して十分な防御ができていなかったからだ。

防御できたはずなのにできなかった

　米国のサイバー安全審査委員会（CSRB：Cyber Safety Review Board）は（注1）、2024年4月2日（現地時間）の報告書で「ある大規模な攻撃」について「予防可能な侵害であり、防げたはずだ」と述べた。

　CSRBが言及したのは2023年の夏、国家に関連する中国系の攻撃者「Storm-0558」が「Microsoft Exchange Online」に侵入し、米国国務省の電子メールなど約6万通を盗み出した件だ。

　報告書の指摘は次のようにまとめられる。Microsoftは大規模なテクノロジーエコシステムにおいて中心的な役割を担っているにもかかわらず、同社の業務上の決定や戦略上の決定は、企業セキュリティへの投資と厳格なリスク管理を軽視するものだった。

　CSRBはMicrosoftに対し、その製品群の全体にわたって、セキュリティに焦点を当てた抜本的な改革計画を公にするよう求めた。さらに、CSRBは全てのクラウドサービスプロバイダーと政府パートナーに対しても、セキュリティに重点を置いた改革を実施するよう勧告した。

　攻撃者は2023年5月に始まった攻撃で、22の組織と500人以上の個人のMicrosoft Exchange Onlineのメールボックスを侵害した。

　この攻撃はジーナ・ライモンド氏（商務長官）、共和党のドン・ベーコン下院議員（ネブラスカ州選出）、ニコラス・バーンズ氏（駐中国大使）をはじめとする米国の主要な関係者の個人のメールボックスを危険にさらした（注2）。

　Microsoftのセキュリティ慣行だけでなく、全米の企業や政府機関、その他の組織にとって重要な役割を果たすクラウドサービスの大幅な見直しの必要性を報告書は強調している。

　CSRBのロブ・シルバース氏（国土安全保障省の政策担当次官兼CSRBの議長）は、次のように述べた（注3）。

　「クラウドコンピューティングは最も重要なインフラの一部であり、機密データをホストし、経済全体においてビジネスの運用を支えている。クラウドサービスプロバイダーがセキュリティを優先し、設計段階からシステムにセキュリティ機能を組み込むことが重要だ」

　サイバーセキュリティ事業を営むTenableのアミット・ヨラン氏（CEO）は、長年にわたってMicrosoftのセキュリティ慣行を批判してきており、CSRBの今回の活動を称賛し、業界全体の改革の必要性を訴えた。

　「この報告書は政府の堅苦しい言葉や空虚な表現が詰まった薄っぺらい文書ではない。優れた専門家のグループによる徹底的な調査に基づいて発行された文書だ。報告書はクラウドサービスプロバイダーに対して、サイバーセキュリティを優先する必要があることを知らせる警鐘となるべきだ」（ヨラン氏）

Microsoftの対応は失敗に終わったのか

　報告書によると、国務省はMicrosoftの特別なデータログから「Big Yellow Taxi」と呼ばれるカスタムルールを作成しており、Microsoftより先に攻撃に気付いていた。国務省は、強化されたログ記録を提供する監査ソリューション「Microsoft Purview Audit」の特別なG5ライセンスをプレミアム価格で購入しており、これを生かした。

　ログ記録を確認するために追加料金を顧客に支払わせたことでMicrosoftは議員から公然と非難された。これを受けて、同社は方針を転換し、2023年7月には強化されたログ記録を無料で提供するようになった（注4）。

　今回の攻撃に対する社会的反発を受けて、Microsoftは2023年11月に、セキュリティ文化における大規模な改革を実施する計画「Secure Future Initiative」を発表した（注5）。MicrosoftはCSRBに感謝の意を表し、自社のセキュリティ文化に大きな変革が必要だと認めた。しかし、2024年1月に、ロシアに関連する脅威グループ「Midnight Blizzard」がMicrosoftを攻撃し（注6）、同社のセキュリティの不備が再び明らかになった。この攻撃では、パスワードスプレー攻撃によって、Microsoftの幹部のメールが盗まれた。

　「いかなる組織も、十分な資金を持つ攻撃者によるサイバー攻撃から逃れることはできない。しかし、私たちはエンジニアリングチームを動員して、レガシーなインフラストラクチャを特定し、緩和し、プロセスを改善し、セキュリティの基準を強化している。当社のセキュリティエンジニアは、攻撃から全てのシステムを保護するために引き続き作業し、堅固なセンサーやログを実装して、攻撃者を検出し、撃退するために努めている」（Microsoftの広報担当者）

出典：Microsoft Exchange state-linked hack entirely preventable, cyber review board finds（Cybersecurity Dive）
注1：Review of the Summer 2023 Microsoft Exchange Online Intrusion（CSRB）
注2：Microsoft hardens key issuance systems after state-backed hackers breach Outlook accounts（Cybersecurity Dive）
注3：Cyber Safety Review Board Releases Report on Microsoft Online Exchange Incident from Summer 2023（Homeland Security）
注4：Microsoft offers free security logs amid backlash from State Department hack（Cybersecurity Dive）
注5：Microsoft overhauls cyber strategy to finally embrace security by default（Cybersecurity Dive）
注6：Midnight Blizzard attack seen as another sign of Microsoft falling short on security（Cybersecurity Dive）