「侵害は防げた」 Microsoftのポカに米政府が激怒した理由：セキュリティニュースアラート

DHSは2023年に起きたMicrosoft Exchange Online侵入事件に関するCSRBの調査結果を公表した。報告書には侵入の経緯と再発防止のための具体的な慣行がまとめられている。

[後藤大地，有限会社オングス]

　米国国土安全保障省（DHS）は2024年4月2日（現地時間）、2023年に発生した脅威グループ「Storm-0558」による大規模なハッキングによって、著名な米国政府高官の電子メールアカウントが漏えいした事件におけるMicrosoftの責任を指摘する報告書を発表しました。同報告書はサイバー安全審査委員会（CSRB）が公開した。

「侵入は防ぐことが可能だった」　Microsoftを非難する報告書の中身

　Microsoftは2023年7月の初めに、Storm-0558によって複数の政府顧客を含む全世界の約25の顧客がハッキング被害に遭ったと報告した。Storm-0558はMicrosoftの顧客の電子メール情報を盗み、「Microsoft Exchange Online」や「Outlook.com」などのアプリケーションにアクセスしていた恐れがあるという。

　今回公開された調査結果は侵入につながった運用上および戦略上の決定を詳細に説明するとともに、この規模の侵入が二度と起こらないようにするために業界と政府が実施すべき具体的な慣行をまとめている。

　CSRBは報告書でStorm-0558および関連グループによって実行される各種の攻撃に対するセキュリティを向上させて、回復力を構築するために、全てのクラウドサービスプロバイダーと政府パートナーに以下のアクションを推奨している。

• クラウドサービスプロバイダー（CSP）のサイバーセキュリティプラクティス：　CSPは、IDおよび認証情報システム全体に、厳密な脅威モデルに基づいた最新の制御メカニズムとベースラインプラクティスを実装して、システムレベルの侵害のリスクを大幅に軽減する必要がある
• 監査ログの基準：　CSPは追加料金なしでベースラインおよび日常的なサービス提供として侵入の検出や防止、調査を可能にするために、クラウドサービスのデフォルトの監査ログの最小標準を採用する必要がある
• デジタルID標準とガイダンス：　CSPはまん延する脅威ベクトルからクラウドサービスを保護するために、新しいデジタルID標準を実装する必要がある。関連する標準化団体は、現代のサイバー空間における脅威において一般的に悪用されるデジタルIDリスクに対処するために、これらの標準を改良や更新し、組み込む必要がある
• CSPの透明性：　CSPは顧客や利害関係者、米国政府の各機関およびそれらの間の透明性を最大化するために、インシデントと脆弱（ぜいじゃく）性の開示慣行を採用する必要がある
• 被害者通知プロセス：　CSPは、より効果的な被害者通知とサポートメカニズムを開発して、情報共有の取り組みを促進し、サイバーセキュリティインシデントの調査や修復、回復に必要な情報を増幅する必要がある
• セキュリティ基準とコンプライアンスのフレームワーク：　米国政府は連邦リスク認可管理プログラムとそれをサポートするフレームワークを更新し、特に影響の大きい状況に続いて、プログラムで認可されたクラウドサービスの提供について裁量による特別レビューを実施するプロセスを確立する必要がある。米国立標準技術研究所（NIST）はクラウドプロバイダーのセキュリティに関連して観察された脅威やインシデントに関するフィードバックも組み込む必要がある

　CSRBで副委員長代理を務めるドミトリー・アルペロビッチ氏は「この大胆な侵入を実行した脅威アクターは、20年以上にわたってサイバー脅威対策に関連する業界から追跡されており、2009年のOperation Auroraと2011年のRSA SecureIDの侵害に関連している。この中国系のハッカー集団は、IDシステムを侵害し、中国政府が関心を持つ個人の電子メールを含む機密データにアクセスする能力と意図を持っている。クラウドサービスプロバイダーは、このような国家行為者による持続的で悪質な脅威から顧客を保護するために、これらの推奨事項を早急に実施しなければならない」と述べている。

　また、米国国土安全保障庁　長官のアレハンドロ・マヨルカス氏は「全国の個人や組織がクラウドサービスに日々依存しており、この技術のセキュリティがかつてないほど重要になっている。脅威アクターはクラウドサービスを侵害する能力において、より巧妙になり続けている。CSRBのような官民パートナーシップは脅威アクターがもたらす深刻なサイバー脅威を軽減するための取り組みにおいて極めて重要だ」と話した。

　今回発表された報告書について、Tenableのアミット・ヨーラン会長兼CEO （最高経営責任者）は「CSRBは見事な報告書を発表した。これは事実を薄めたような、お役所の言葉や決まり文句に満ちた、中身のない文書などではない。徹底的な調査を実施し、サイバーセキュリティが最優先事項であることをクラウドプロバイダーに注意喚起させる強力な文書だ。報告書は『侵入は防ぐことが可能であった』と指摘しており、連邦政府はMicrosoftの度重なるサイバーセキュリティの過失を厳しく非難している」とコメントした。