Microsoftの弱点は「セキュリティ」 何がダメなのか

Microsoftは企業向けのクラウドサービスやSaaSアプリケーションの巨人だ。だがセキュリティが弱過ぎるという批判を受け始めた。なぜだろうか。

[David Jones，Cybersecurity Dive]

　「セキュリティの問題が山積みになっている」というMicrosoftに対する批判が日に日に高まっている。批判の内容と、同社が批判に対してどのように対応したのかを紹介する。

Microsoftのセキュリティはなぜ問題なのか

　調査会社Synergy Research Groupによると、Microsoftは企業向けのプロバイダーとして確固たる地位を築いており、世界のクラウドインフラサービス市場で4分の1近くのシェアがあり（注1）、2023年の第1四半期時点では世界のSaaS市場の20％近くを占めていた。このような企業でセキュリティの問題が起きればどうなるのだろうか。

　Microsoftは現在、国家に関連する攻撃グループからの2種類の攻撃を受けており、主要な企業向けプラットフォームが深刻な状況に置かれている。

　サイバーセキュリティ事業を営むCrowdStrikeのアダム・メイヤーズ氏（敵対者対策担当のシニアバイスプレジデント）は次のように述べた。

　「国家レベルの敵対者がMicrosoftのクラウド環境に侵入したのは今回が初めてではなく、これだけ多くの事案が発生している以上、同社はセキュリティ対応を進めるという空約束をしている場合ではない」

　2024年1月、Microsoftは、ロシアの支援を受ける脅威グループ「Midnight Blizzard」による攻撃を受けた。Microsoftの上級幹部の他、特定の法人顧客、多数の連邦政府機関の電子メールや認証情報、その他の機密情報が侵害された（注2）。

　2024年4月上旬、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は「Microsoft Exchange Online」の環境に対する大規模なハッキングを2023年に同社が防げなかったことを示す報告書を発表した（注3）。中華人民共和国に関連する攻撃者によるこのハッキングでは、約6万通の国務省の電子メールが盗み出され、他の高官の情報も不正アクセスされてしまった。

　2024年4月、CISAは緊急指令を発表し（注4）、連邦政府機関に対して、ネットワークの脆弱（ぜいじゃく）性に対応する他、盗まれた電子メールの内容を分析したり、認証情報をリセットしたり、「Microsoft Azure」のアカウントの安全を確保したりするための追加措置を講じるよう命じた。この指令は連邦政府機関にのみ適用されるが、CISAは他の組織にも影響が及ぶ可能性があると警告している。

Microsoftはセキュリティで手抜きをしていた

　多くの批評家は次のように考えている。過去1年弱の出来事は、何十年もの間、市場を支配してきたMicrosoftが製品のセキュリティや関連する行動に対して発せられてきた長年の警告を無視してきたことの論理的な結末だと。

　スタンフォード大学Cyber Policy Centerにおいて、地政学、技術、ガバナンスの領域を担当するディレクターであり、ホワイトハウス（米連邦政府）で政策を担当するディレクターでもあったAJ・グロット氏は、次のように述べた。

　「健全な市場であれば、Microsoftの行為は許されない。しかし、残念ながら市場は健全とは程遠い状態だ。Microsoftは政府を顧客として抱え込んでいるため、少なくとも短期的には、政府が同社に変化を強制する選択肢は限られている」

　Microsoftのセキュリティにおける欠陥が、壊滅的な被害をもたらすのではないかという懸念が大きい。

　ソフトウェアサービスを提供するTrellixのカラン・ソンディ氏（公共部門における最高技術責任者）によると、Microsoftが今、実行しなければならないのは、ゼロトラストの取り組みに社内のリソースを割き、インフラに新たな投資をすることだという。

　「しかし現在、Microsoftは投資の大部分を社内のセキュリティではなく収益を生み出す業務に振り向けている」（ソンディ氏）

　Microsoftはクラウドセキュリティ分野に大きな利害関係を持っている。同社は世界最大のクラウドサービスプロバイダーの一つだというだけでなく、企業向けの主要なセキュリティプロバイダーでもあるからだ。2024年1月に開催された2023年度第2四半期のカンファレンスコールで、Microsoftのサティア・ナデラ氏（CEO）は「当社は100万以上のセキュリティ顧客を有し、そのうち70万が4つ以上のセキュリティ製品を使用している」と述べた。

　同社はセキュリティ事業から年間200億ドル以上の売り上げを生み出している。

Microsoftのエコシステムは脆弱

　Microsoftのシステムを標的にした国家に関連する活動は、同社製品を使用している企業にも影響を及ぼした。Hewlett Packard Enterprise（HPE）は（注5）、同じ脅威グループによる継続的な活動の影響を受けたことを明らかにしている。

　HPEは2024年1月、米証券取引委員会（SEC）への提出書類の中で、Midnight Blizzardが2023年5月にさかのぼって企業の電子メールボックスにアクセスし、サイバーセキュリティ部門やその他の主要部門の幹部からデータを盗んだと発表した。この活動は、SaaSなどで提供される「Microsoft SharePoint」ファイルへのアクセスと流出に関連しているようだ。

　HPEは2024年1月に、「Cybersecurity Dive」に対して「攻撃者は、侵害されたアカウントを使用して、『Office 365』の電子メール環境に不正アクセスした」と述べた。HPEは、Midnight Blizzardの脅威活動について、SECへ提出したもの以外のコメントを控えている。

　Microsoftは2024年3月、SECに提出した書類の中で（注6）、「Midnight Blizzardが当社から盗んださまざまな秘密を利用しようとしていた」と述べた。Microsoftは「電子メールを通じて当社の特定の顧客と秘密を共有し、それらの顧客が緩和策を講じられるよう支援している」とも述べた。

　Midnight Blizzardはパスワードスプレー攻撃やソーシャルエンジニアリングなど、さまざまな手段を用いて、Microsoftの顧客に対する攻撃を繰り返してきた。

　CISAやその他の当局は、連邦政府機関やMicrosoftの他の顧客に対するMidnight Blizzardの攻撃による継続的な脅威の影響を現在も評価中だ。

　サイバーセキュリティに関する活動をしている非営利団体のCenter for Internet Securityのランディ・ローズ氏（セキュリティの運用やインテリジェンスを担当するバイスプレジデント）はMulti-State Information Sharing and Analysis Center（MS-ISAC）を通じて「Microsoft製品を標的にした活動に関する情報と対応情報を提供した」と述べた。

　MS-ISACの参加者のうちの一部が、このたびのMicrosoftへの攻撃に関して影響を受ける可能性が高い旨の通知を受け取っていることをローズ氏は確認した。しかし、これと関連した外部からの活動の報告はなく、インシデント対応の報告もなかった。

　実際、CSRBの報告書は、「サイバーセキュリティに真剣に取り組むことを何年も怠ってきたMicrosoftの企業文化」（注7）に対する厳しい評価を記した。

　この報告書は、2023年夏、中華人民共和国に関連する脅威行為者がMicrosoft Exchange Online環境を侵害した事件に対する同社の対応を評価するものだった。

　しかし、政府機関や民間企業における最新のビジネスアプリケーションでMicrosoftが巨大な市場力を持っていることを考えると、最も基本的な基準を順守できていないセキュリティ文化が同社にあることも明らかになった。

　さらに不利な調査結果の一つは、Microsoft社が攻撃を知ったのは、国務省が同社から「Microsoft 365 Government G5」ライセンスを購入した後、社内に警告システムを設置したためだったというものだ。拡張ライセンスを購入しなかった顧客は、侵害を警告する広範なロギング機能を見ることができない。

説明責任を果たしておらず、国家に対する脅威

　セキュリティコミュニティーの多くは、CSRBの報告書と最近のCISA緊急指令は、Microsoftの良くないセキュリティ文化を指摘しているだけでなく、Microsoftが多くのサービスにおいて競争に気を配らなくても、有利な政府契約を維持することを許してきた政府に対する直接的な非難だと見ている。

　Foundation for Defense of Democracies（民主主義防衛財団）のサイバーテクノロジー・イノベーションセンターのシニア・ディレクター、マーク・モンゴメリー氏は「外部の専門家からの後押しにもかかわらず、バイデン政権とその前任者たちは、クラウドコンピューティングを国家の重要インフラとして扱ってこなかった」と指摘した。

　ロン・ワイデン氏（民主党、オレゴン州選出上院議員）は、国務省の電子メールハッキング事件を受けて連邦政府に調査を求め（注8）、報告書に開示された怠慢な行為について連邦政府はMicrosoftと責任を共有していると述べた。

　ワイデン氏によると、Microsoftは連邦政府との契約で何十億ドルもの報酬を得ている一方で、最も基本的なセキュリティ基準についてさえ責任を問われていないという。

　「政府がMicrosoftに依存していることは、国家安全保障上の深刻な脅威であり、強力な対策が必要だ。テクノロジーベンダーは厳格なサイバーセキュリティ基準に従うべきであり、独立した監査によってベンダーがその基準を順守していることを確認され、違反した場合には、会社と上級幹部が責任を負わなければならない」（ワイデン氏）

Microsoftは行動を改めたのか

　Microsoftの関係者は2023年夏の攻撃や、Midnight Blizzardやその他の国家行為者による継続的な脅威によってもたらされたより大きな懸念を理解していると述べた。同社は、エンジニアリングプロセスを大幅に変更し、セキュリティコミュニティーとの関係を改善し、顧客のニーズへの対応力を高めることに取り組んでいる。

　Microsoftのブレット・アーセノー氏（副社長兼チーフサイバーセキュリティアドバイザー）は、声明の中で次のように述べた。「これは始まりに過ぎない。われわれは、全てのシステムを攻撃から強化する努力の一環として、透明性のある学習と将来のマイルストーンを共有することを約束する」

　Microsoftのセキュリティ業務の大改革の一環として、同社は2023年12月、イゴール・ツィガンスキー氏を2024年1月1日付で新グローバルCISOに指名し（注9）、14年間務めたアーセノー氏をその役割から外した。

　アレセノー氏は、2023年11月にセキュアフューチャーイニシアチブ（SFI）を立ち上げて以来、幾つかの分野で関連するエンジニアリング作業（注10）を次のように加速させてきたと述べた。

・Microsoftは未使用のシステムや古いシステムに焦点を当て、テナントのライフサイクル管理を加速させた。使用済みだったり、老朽化したり、レガシー技術に関連していたりした170万以上の「Entra ID」システムを廃止した。さらに100万以上のEntra IDテナントにおいて、多要素認証の強制を自動化した
・ライフサイクルが終了していたり、現在のSFI基準を満たしていなかったりする本番テナントと企業テナント全体で、73万以上のアプリケーションを削除した
・新入社員やベンダーには、なりすましやクレデンシャルの盗難をより困難にするために長期ではなく短期間のクレデンシャルを付与した。これまでに27万件以上を導入した
・Microsoftのオーセンティケータを使用した社内の多要素認証の実装を強化し、通話機能を廃止し、アプリケーション内ログイン機能に依存するようになった。この変更は30万人以上の従業員とベンダーを対象とした

Microsoftの顧客は同社の対応にどう反応するのか

　こうしたセキュリティの課題にどう対応するかが、Microsoftにとって差し迫った関心事だ。

　法律事務所Dykemaのダンテ・ステラ氏（弁護士、インシデント対応スペシャリスト）によると、クラウドサービスプロバイダーとしてのMicrosoftの巨大な存在感があるため、Microsoftが国家に関連するサイバー攻撃に直面しても、企業顧客は通常Microsoftからサービスを乗り換えないという。

　「多くの企業はオンプレミスのサーバ（やマネージド・サービス・プロバイダー）から逃れるために、Microsoft Exchange OnlineやMicrosoft 365に乗り換えた。企業に残された選択肢が元に戻ることが戻るだったり、あるいは『Google Workspace』のような他のプラットフォームへの潜在的に破壊的な切り替えだったりした場合、企業はMicrosoftが問題を解決してくれるまで待つだろう」（ステラ氏）

　「今回のような攻撃は、多くの企業が積極的なセキュリティ対策を進めるきっかけになるだろう。例えば、従業員トレーニングの強化やメールセキュリティのE5レベルへのアップグレード、監査ログの採用、ファイル転送時の暗号化の強化などだ」とステラ氏は言う。

　ステラ氏によると、E5はMicrosoft 365の顧客にとってプレミアムレベルであり、セキュリティやその他のサービスが強化されているという。

セキュリティの課題をAIで代替できるのか

　2024年6月にナデラ氏はセキュリティがMicrosoftの最優先事項だと述べた（注11）が、同社は同時にAI（人工知能）の開発と製品へのAI組み込みを急いでいる。

　Microsoftは自社のセキュリティ製品プラットフォームにAIを組み込む取り組みが顧客に受け入れられるかどうかについて大きな賭けをした。Microsoftは、顧客との数カ月にわたるテストの結果、「Microsoft Copilot for Security」がセキュリティアナリストの作業を22％高速化し、精度を7％高めたと発表した。

　加えて、Microsoft 365の顧客数がE5を採用することで、セキュリティ保護が強化され、ユーザー1人当たりの平均売上高も増加すると同社は見ている。

　Microsoftは2024年4月初め、Microsoft Copilot for Securityの一般提供を開始し（注12）、この技術をより幅広い顧客に手頃な価格で提供するため、従量課金制で提供している。

出典：At Microsoft, years of security debt come crashing down（Cybersecurity Dive）
注1：Cloud Market Gets its Mojo Back; AI Helps Push Q4 Increase in Cloud Spending to New Highs（Synergy Research Group）
注2：Federal agencies caught sharing credentials with Microsoft over email（Cybersecurity Dive）
注3：Cyber Safety Review Board Releases Report on Microsoft Online Exchange Incident from Summer 2023（CISA）
注4：Federal agencies caught sharing credentials with Microsoft over email（Cybersecurity Dive）
注5：HPE hit by a monthslong cyberattack on its cloud-based email（Cybersecurity Dive）
注6：Microsoft Corporation（Microsoft）
注7Cyber Safety Review Board Releases Report on Microsoft Online Exchange Incident from Summer 2023（Homeland Security）
注8United States Senate（Ron Wyden）
注9Charlie Bell（Linkedin）
注10Enhancing protection: Updates on Microsoft’s Secure Future Initiative（Microsoft）
注11Microsoft CEO says security is its No. 1 priority（Cybersecurity Dive）
注12Microsoft Copilot for Security is generally available on April 1, 2024, with new capabilities（Microsoft）