Microsoftは信頼できるのか 政府系の情報の取り扱いに疑問あり

政府のITシステムに海外の技術者が直接アクセスできないようにする仕組みに問題があることが見つかった。この仕組みはサプライチェーンセキュリティのリスクが高い。

[Eric Geller，Cybersecurity Dive]

　Microsoftによる政府系の情報の取り扱いに不備があるのではないかという疑問が持ち上がっている。

　政府の情報を取り扱う際、海外のエンジニアに作業を依頼しつつ、十分な監視ができていないという指摘がある。

Microsoftは信頼できるのか　政府系の情報の取り扱いに疑問

　問題になっているのは外国人技術者と政府のITシステムを仲立ちする「デジタルエスコート」だ。何が起こっているのだろうか。

　発端になったのは、Microsoftが中国国内のエンジニアに機密性の高い業務を担当させているという報道だ。

　米国上院情報委員会のトム・コットン委員長（共和党・アーカンソー州選出）はこの報道を受けて、国防総省に対して契約業者が中国人従業員に依存している実態について調査するよう求めた。

　2025年7月16日（現地時間、以下同）にコットン氏は、国防長官のピート・ヘグセス氏に宛てた書簡の中で次のように述べた（注1）。

　「国防総省（DoD）は下請け業者からのものを含め、サプライチェーン内のあらゆる潜在的な脅威から身を守る必要がある」

　コットン氏による調査の要請は、Microsoftが中国人エンジニアと締結している異例の取り決めを踏まえたものだ。軍のITシステムの安全性に対する議会内の強い懸念を反映した。

　コットン氏の書簡は公益に関する調査に強みがあるProPublicaが2025年7月15日に報じた記事を受けたものだ（注2）。その記事では、Microsoftが中国籍の従業員を「案内役」（エスコート）として使っていることと、米国の従業員が国防総省のITシステムに変更を加える業務を支援していた実態を明らかにした。あるデジタルエスコートはProPublicaに対して「海外の技術者がやっていることは悪意のある行為ではないと信じているが、実際のところそれを確かめるすべはない」と語った。ProPublicaはこの取り決めを「10年前、Microsoftが連邦政府のクラウドコンピューティング事業を獲得するために不可欠だったもの」と表現している。

デジタルエスコートの何が問題なのか

　Microsoftは米国政府の情報のうち、高インパクトレベルに分類される極めて重要なデータを扱う際にデジタルエスコートを使っている。人命や財政的な破綻に関わるデータがその一例だ。ただし、機密レベルの情報では利用していない。

　デジタルエスコートは米国のセキュリティクリアランスをクリアした人材だ。まず、中国などの海外の技術者がコマンドやコードを作成する。それをデジタルエスコートが政府のITシステムに手入力するという流れだ。

　デジタルエスコートは海外の技術者が米国政府のITシステムに直接接触することを防ぐ仕組みだ。ただし、本文にもあるようにデジタルエスコートには必ずしも技術的なバックグラウンドが保証されていない。海外の技術者が悪意のあるコードを送ってきたとしてもそれを確認できないというリスクがある。

　米国の重要なインフラを狙い続ける中国政府の支援を受けた攻撃者グループが複数確認されている中で、このような仕組みには問題があるというのが今回の論点だ。（キーマンズネット編集部）

　コットン氏は国防長官に対して、DoDのシステムの保守やその他のサービスを提供するために中国籍の従業員を雇用している全ての軍事契約業者の一覧の他、Microsoftやその他の契約業者に対してデジタルエスコートを雇用している下請け業者の一覧を提出するよう求めた。そうしたエスコートの採用と訓練の手順に関する情報の提供も要請した。

　「この取り決めは米国市民が機密データを扱うという要件を形式的には満たしている。しかし、デジタルエスコートは悪意のあるコードや不審な挙動を見抜くために必要な技術的訓練や専門知識を備えていないことが多い」（コットン氏）

　議会による監視は、中国で大規模な事業を展開しているMicrosoftをはじめとする著名な政府契約業者が、サプライチェーンのセキュリティ対策について厳しい精査を受ける可能性が高いことを示した。

　Microsoftはずさんなセキュリティ慣行が米国連邦政府のシステムへの大規模なサイバー攻撃を誘発したとして（注3）、長年にわたって政府の監視下に置かれてきた。攻撃キャンペーンの一つは、「Microsoft Exchange」のサーバをゼロデイ脆弱（ぜいじゃく）性を使って狙ったものだ。連邦検察によると（注4）、これは中国政府と関係のある攻撃者の活動から始まったという。

　Microsoftのフランク・ショー氏（広報担当者）は次のように述べた。

　「2025年7月14日の週の初めに提起された懸念に対応して、米国政府の顧客向けサポートを見直した。その上で、中国拠点のエンジニアリングチームが国防総省の政府向けクラウドや関連サービスに対して技術支援することがないように体制を変更した」

出典：Top US senator calls out supply-chain risk with DoD contractors（Cybersecurity Dive）
注1：united states senate（Tom Cotton）
注2：A Little-Known Microsoft Program Could Expose the Defense Department to Chinese Hackers（ProPublica）
注3：Capitol Hill angry over Microsoft’s security upcharge（POLITICO）
注4：Suspected contractor for China’s Hafnium group arrested in Italy（Cybersecurity Dive）

原文へのリンク