脅威インテリジェンスを軽視していたMicrosoftの開発者 攻撃されても仕方ない実態

サイバー攻撃は対抗できないような巨大な力ではない。なぜなら犯罪者が自分たちの目的を達成するために動いた結果だからだ。これを忘れるサイバー攻撃にうまく対応できなくなる。

[Matt Kapko，Cybersecurity Dive]

　サイバー攻撃は「前触れもなくやってくる嵐」のようなものだと考えている人はいないだろうか。Microsoftの開発者はそう考えていた。

脅威インテリジェンスを軽視していたMSの開発者たち

　この考え方は「脅威インテリジェンス」をあまりにも軽視している。これではサイバー攻撃にうまく備えることができない。どういうことだろうか。

　Microsoftは2023年11月に「Secure Future Initiative」（SFI）という全社的な取り組みを発表した。急速に進化するサイバー脅威に対応するために、SFIは3つの柱を打ち立てた。AIを活用したサイバー防御とソフトウェア工学の基礎的進歩、サイバー脅威から国民を守るための国際規範の適用強化だ。具体的に何をしようとしているのだろうか。

　Microsoftで脅威インテリジェンス戦略を担当するシェロッド・デグリッポ氏（ディレクター）は当初、2023年の秋に発表されたコアプラットフォームとサービス全体のサイバーセキュリティ戦略を見直す全社的な取り組みを（注1）製品と結び付けて考えていた。SFIは脅威インテリジェンスとは異なると思えたので、自分にはあまり関係がないかもしれないと考えていた。

　「SFIとはMicrosoftができる限りの方法で世界を安全にするためのものだと思っていた。ただし、私は当社のソフトウェアの安全性を高める業務には関与していない。私はコードをベースとする領域に携わっていない」（デグリッポ氏）

　Microsoftは全社的にセキュリティファーストのアプローチを採用し、プログラミングレベルでのサイバーセキュリティにも真剣に取り組んでいる。開発者がセキュリティに対するアプローチを改善するため、同社は脅威インテリジェンス、特にMicrosoftのシステムを狙う攻撃者の目的や動機を開発者に周知している。

　セキュリティに対する責任は、Microsoftのセキュリティチームだけにあるわけではない。Microsoftのコーポレート・バイスプレジデントでありチーフサイバーセキュリティアドバイザーでもあるブレット・アルソノー氏は、2024年5月のカンファレンス「RSA Conference 2024」で「Cybersecurity Dive」に対して、「私たちはソフトウェアの開発方法を変える必要がある」と語った。

Microsoftの開発者は脅威インテリジェンスをどのように考えていたのか

　2024年8月、デグリッポ氏はワシントン州レドモンドにあるMicrosoftの本社で、社内のソフトウェア開発者やエンジニアリングリーダー100人を対象に、4時間のワークショップシリーズの第1回を開催した。デグリッポ氏は開発者たちが脅威インテリジェンスをいかに見過ごしているのか、その実態を目の当たりにしたという。

　「ワークショップに参加した非常に優秀なソフトウェアエンジニアたちが、大規模なコードや大規模なアプリケーション、オペレーティングシステムを開発することにおいて素晴らしいスキルを持っていることに気付いた。しかし、私の人生そのものとも言える脅威インテリジェンスの概念が開発者の日常生活には存在しないことが分かった」（デグリッポ氏）

　ディスカッションやクイズ、読書を通じて、Microsoftの開発者とエンジニアは、ロシアと中国に関連する脅威グループのさまざまな活動モデルを学んだ。攻撃者がどのような選択をしているのか、攻撃者たちは何者なのか、どこに住んでいるのか、毎日何をしているのか、どのような生活をしているのかなどだ。

　脅威インテリジェンスに関するこれらの情報は、攻撃者を人間として捉えることに役立ち、防御者の自信を高めることにつながる。そうでなければ、防御者は脅威グループを手に負えない存在と見なしてしまうかもしれない。

　最初のワークショップの休憩時間に、デグリッポ氏は開発者の同僚にはお気に入りの脅威グループがないことを知って驚いた。

　これはMicrosoftが防御しようとしている脅威グループに対する興味や理解が、開発者たちには欠けていることを示していた。

　「一つだけお気に入りを選べと言われても私には無理だ。沢山のお気に入りがあるからだ。だが開発者たちには一つもなかった」（デグリッポ氏）

　ワークショップには効果があったようだ。ワークショップが終わる頃には、全員がお気に入りの脅威グループを持つようになっていた。デグリッポ氏は「私は皆さんに対して、単に情報を伝えたのではなく、その情報に対して意見を持つ能力を与えたのだ」と語った。

ソフトウェア開発における脅威インテリジェンスの役割

　このようなワークショップはMicrosoftの新しい取り組みであり、2024年4月に同社が強化した継続的な取り組みの一環だ（注2）。同社のサティア・ナデラ氏（CEO）が述べたように、これによりセキュリティが他の全ての機能や投資に優先する最重要事項となった。

　デグリッポ氏にとって、第1回のワークショップは社内の非セキュリティの聴衆に脅威インテリジェンスについて話した初めてのもので、同氏と同僚にとって新たな発見のある体験だった。

　「私は開発者ではないが、開発者が脅威を理解できるようこれまでとは違った方法でサポートしている。最終的には、SFIがMicrosoft全体の意思決定を変えること、そしてMicrosoft内でセキュリティやソフトウェアに対して意図的な選択をさせることが最も重要だと思っている」（デグリッポ氏）

　Microsoftがセキュリティ重視の方針に転換したのは、Microsoftのインフラストラクチャや、企業と政府顧客が利用するサービスに対して国家に関連する2つの大規模な攻撃があったことに起因する。

　2023年5月に中国関連の脅威グループが「Microsoft Exchange」のアカウントを侵害した。これに関連して、サイバー安全審査会（CSRB）は2024年4月に、Microsoftのセキュリティに関する一連の失敗について厳しい報告を発表した（注3）。

　さらに、ロシア関連の脅威グループである「Midnight Blizzard」がパスワードスプレー攻撃を通じてMicrosoftの上級幹部の電子メールを盗んだ事件が2024年1月に公開されたことで（注4）、Microsoftのセキュリティの不備はより一層明らかになった。

　デグリッポ氏にとって、このワークショップはMicrosoftがより多くの部門横断的な活動を行い、脅威インテリジェンスを全ての業務に組み込む必要性を強調するものだった。

　「本当に期待できるのは、やはり開発者たちだ。開発者たちがSFIの原則に従って、最良の選択を進めていかなければならない」（デグリッポ氏）

出典：Microsoft is training developers on the intricacies of threat intelligence（Cybersecurity Dive）
注1：Microsoft overhauls cyber strategy to finally embrace security by default（Cybersecurity Dive）
注2：Microsoft CEO says security is its No. 1 priority（Cybersecurity Dive）
注3：Microsoft Exchange state-linked hack entirely preventable, cyber review board finds（Cybersecurity Dive）
注4：Midnight Blizzard attack seen as another sign of Microsoft falling short on security（Cybersecurity Dive）