MicrosoftのセキュリティがGoogleやAppleに劣ると言われた理由

Microsoftの評判がすこぶる悪い。サイバーセキュリティに力を入れていなかったためだ。同社は今後、どのように動くのだろうか。

[David Jones，Cybersecurity Dive]

　2024年6月13日（現地時間）、米下院の国土安全保障委員会の証言において、Microsoftのブラッド・スミス氏（社長兼バイスチェア）は、同社がセキュリティにおける失敗の全責任を負うと同時に（注1）、セキュリティ文化の大幅な改革を進めることを約束した。

Microsoftはどこで大失敗したのか

　なぜ社長が米下院で失敗の責任を負うと発言しなければならなかったのか。

　それは米国サイバー安全審査委員会（CSRB）による厳しい報告があったからだ。この報告は、国家に関連する脅威グループによって2023年夏に「Microsoft Exchange Online」が攻撃された事件を受けて、CSRBがMicrosoftのセキュリティ文化を分析したものだ。この報告書に対応してスミス氏は議員たちの前で証言した（注2、注3）。

　公聴会においてスミス氏は、「従業員がセキュリティに懸念を感じたときに、声を上げることを奨励するようにMicrosoftの企業文化を変えようとしているかどうか」について繰り返し質問された。

　質問に対して、スミス氏は「私たちは全ての従業員が問題を探し、問題を見つけ、報告し、解決する手助けをして、問題から学ぶことを奨励する文化を目指している」と答えた。

　スミス氏によると、デジタルテクノロジー史上最大となるセキュリティに焦点を当てたエンジニアリングプロジェクトに取り組んでいるという。プロジェクトには3万4000人以上のフルタイムのエンジニアが関与しているとした。

　Microsoftは上級幹部の年間賞与の一部をサイバーセキュリティの実績に連動させる計画も承認した（注4）。新しい会計年度が始まる2024年7月1日以降、上級幹部の賞与に占める個人業績部分の評価の3分の1は、サイバーセキュリティに関連する個人業績に基づいて決定される。

　全従業員を対象とした年2回の業績レビューにもセキュリティ関連が含まれるように変わる。

GoogleやAppleに劣るMicrosoft

　サイバーセキュリティ事業を営むProofpointのライアン・カレンバー氏（最高戦略責任者）は、今回の公聴会で「AppleやAmazon、Googleなどの同業他社と比較して、Microsoftが製品のセキュリティを後回しにしてきたことに対する長年の懸念が明らかになった」と述べた。

　「Microsoftは設計上安全な製品を作ることよりも製品間の相互接続性を重視した。そのためセキュリティリスクを分離することができず、自ら作り出したセキュリティリスクを膨らませ続けている」（カレンバー氏）

　調査報道を特徴とする「Pro Publica」が報じた告発者による報告を受けて（注5）、スミス氏は2024年6月13日にさらなる批判を浴びた。本告発者によると、SUNBURST攻撃につながる脆弱（ぜいじゃく）性について、Microsoftは自社のエンジニアのアンドリュー・ハリス氏から何年にもわたる警告を受けていたにもかかわらず、それを無視していたという。なお、ハリス氏は2020年にMicrosoftを退職し（注6）、同業他社のCrowdStrikeに入社した。

SUNBURST攻撃とは何か

　SUNBURST攻撃とは2020年に明らかになった高度なサイバー攻撃で、SolarWindsのネットワーク管理ソフトウェア「Orion Platform」（以下、Orion）の更新プログラムが不正に操作されたことに端を発する。

　攻撃者は攻撃に先だってSolarWindsのソフトウェア開発環境に侵入し、Orionソフトウェアの正規の更新プログラムに悪意のあるコードを注入することに成功した。その後、SolarWindsから正規の更新プログラムとしてユーザーに配信された。

　この結果、Orionを使用していた組織が更新プログラムを適用すると、SUNBURSTも同時にインストールされてしまった。攻撃者はこれらのユーザー企業のネットワーク内に裏口を作り、第2次攻撃として機密情報へのアクセスや追加のマルウェアのインストール、他のシステムへの横移動など、さらなる悪意のある活動へと進んでいった。

　米国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が2021年4月15日に発表したアドバイザリによれば、SUNBURST攻撃は被害者のネットワークに侵入後、連携IDソリューションを侵害したり、バイパスしたりした後、偽造された認証トークンを使って「Microsoft 365」や「Microsoft Azure」などのクラウド環境を狙って横移動を始める。その後、被害者のクラウド環境への特権的アクセスを利用して、APIベースのアクセスのための検出が困難な永続化メカニズムを確立した。つまり、Microsoftのクラウドは防波堤にならなかったということだ。

　SUNBURST攻撃は洗練度や標的の選択、サプライチェーンのプロセスを悪用する手法により、注目を集めた。政府機関やテクノロジー企業、コンサルティング会社など、さまざまな業界の多数の組織に影響を与えた結果、サプライチェーン攻撃の深刻な脅威を浮き彫りにして、サイバーセキュリティコミュニティー全体で警戒を呼び起こした経緯がある。（キーマンズネット編集部）

　公聴会でスミス氏は「ホワイトハウス（米連邦政府）を訪問しており、Pro Publicaの報告書を確認する機会がなかった」と述べた。

　「製品のセキュリティに影響を与える類似の脆弱性があるかどうか認識しているか」を尋ねられると、スミス氏はそのような事実はないとしながらも、「私たちは発見可能な全ての脆弱性を見付けるために全力で取り組んでいる。Microsoftは、従業員がこれらの懸念を積極的に提起できる環境作りに取り組んでいる」と述べた。

出典：Microsoft president promises significant culture changes geared towards security（Cybersecurity Dive）
注1：Microsoft’s work to strengthen cybersecurity protection（Microsoft）
注2：Microsoft will take full ownership for security failures in House testimony（Cybersecurity Dive）
注3：Microsoft Exchange state-linked hack entirely preventable, cyber review board finds（Cybersecurity Dive）
注4：Microsoft restructures security governance, aligning deputy CISOs and engineering teams（Cybersecurity Dive）
注5：Microsoft Chose Profit Over Security and Left U.S. Government Vulnerable to Russian Hack, Whistleblower Says（Pro Publica）
注6：Andrew Harris（LinkedIn）