Microsoftが“四面楚歌” 政府機関などからインシデント対応について厳しい非難の声Cybersecurity Dive

MicrosoftはMicrosoft Exchange Onlineのハッキング被害に関する広範な欠陥を認めるとともに、企業や業界、国が前進するために必要なステップについて説明する予定だ。

» 2024年06月27日 07時30分 公開
[David JonesCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 Microsoftのブラッド・スミス氏(バイスチェア兼プレジデント)は、米国連邦議会国土安全保障委員会向けに準備された証言文書の中で「サイバー安全審査会(CSRB)が2024年3月の報告書で明らかにしたセキュリティの失敗に関する責任をMicrosoftが負う」と述べた(注1)。

Microsoft、インシデント対応の失敗によって“四面楚歌”状態に

 スミス氏は2024年6月13日(現地時間)の午後に、聴聞会で証言した。重要な連邦政府機関を危険にさらした国家的な2つのサイバー攻撃に関連するMicrosoftのセキュリティの大規模な失敗を受けて、この聴聞会に大きな注目が集まった。

 スミス氏は、書面で次のように述べた。

 「私たちは、Microsoftがサイバーセキュリティの領域で固有かつ重要な役割を果たしていると認識している。それは顧客のためだけでなく、この国のためでもある。また、国の同盟国にとっても重要だ」

 スミス氏によると、Microsoftは世界32カ国でデータセンターを運営しており、米国政府や主要同盟国との間でセキュリティ問題について密接に協力している。

 2023年5月以降、中国とつながりのあるハッカーが、22の組織と500人の個人の「Microsoft Exchange Online」の環境を標的にし、米国務省の電子メール約6万通が盗まれ、ジーナ・ライモンド氏(米商務長官)のアカウントも侵害された。

 CSRBが発表した報告書によると、この攻撃は完全に防止可能なものであり(注2)、Microsoftはセキュリティよりも市場投入のスピードや新機能を重視したことに関する非難を受けた。

 ロシアに関連する脅威グループ「Midnight Blizzard」が2023年後半から始めた別の攻撃では、Microsoftの上級幹部が危険にさらされた。この攻撃により、連邦政府機関へのアクセスに使用できる認証情報が盗まれるなど(注3)、さらなる問題が起こった。

 批評家たちは「Microsoftが重要な連邦政府機関との連携を強めていることを考えると、より有意義な方法でその過ちに対する責任を負うべきだった」と述べている(注4)。

 民主主義防衛財団のサイバー技術イノベーションセンターのマーク・モンゴメリー氏(シニアディレクター)は、電子メールで次のように述べた。

 「Microsoftは、国防総省のエコシステムやその他の政府システムに対する支配的な地位を正当化するようなセキュリティへのコミットメントを示していない」

 CSRBの報告書は、合計25件の勧告を発表した(注5)。そのうち16件は、Microsoftに関連するもので、残りはクラウドセキュリティ業界全般に関連するものだ。

 スミス氏によると、国家による活動はより激しく、より巧妙化しており、過去1年間にMicrosoftとその従業員に対して4700万件のフィッシング攻撃が実行されたという。一方、証言文書によると、Microsoftの顧客に対しては、1日当たり3億4500万件の攻撃が試みられているという。

 「企業として、この国のサイバーセキュリティを守るために完璧を目指さなければならない。私たちが失敗した日は、サイバーセキュリティ業界にとって悪い日であり、当社にとっては最悪の瞬間だった」(スミス氏)

 Microsoftは、社内のセキュリティ方針を強化するための追加措置を計画している。2024年6月14日に開催されるMicrosoftの取締役会では、上級幹部の報酬を社内セキュリティ目標の達成に連動させる計画に関する最終決定が行われる予定だ(注6)。

 また、Microsoftは米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)を本社に招き、セキュリティ目標を達成するために取り組んでいる具体的な内容について詳細なブリーフィングをする予定だ。

(注1)Microsoft’s Work to Strengthen Cybersecurity Protection(U.S. House Committee on Homeland Security)
(注2)Microsoft Exchange state-linked hack entirely preventable, cyber review board finds(Cybersecurity Dive)
(注3)Federal agencies caught sharing credentials with Microsoft over email(Cybersecurity Dive)
(注4)At Microsoft, years of security debt come crashing down(Cybersecurity Dive)
(注5)Review of the Summer 2023 Microsoft Exchange Online Intrusion(CSRB)
(注6)Microsoft restructures security governance, aligning deputy CISOs and engineering teams(Cybersecurity Dive)

© Industry Dive. All rights reserved.