Microsoftの言い分は? “ざる”なセキュリティ慣行にベンダーらの追求相次ぐ:Cybersecurity Dive
TenableのCEOであるアミット・ヨラン氏をはじめセキュリティベンダーや研究者、政府関係者らは、Microsoftのセキュリティ慣行が不十分であるとして激しく批判している。
サイバーセキュリティ企業TenableのCEO(最高経営責任者)であるアミット・ヨラン氏は、同社の研究者が2023年3月に発見した「Microsoft Azure」(以下、Azure)の重大な脆弱(ぜいじゃく)性が修正されていないと主張しており、Microsoftはセキュリティ慣行について新たな調査を受けている。
ヨラン氏によると、この脆弱性を利用して研究者は銀行の機密情報にアクセスできたという。Microsoftは部分的な修正を実施したのみであり、完全には解決されていない。後にTenableは部分的な修正プログラムを回避する方法も発見したとしている。
Microsoftの不誠実な対応にベンダーから批判が相次ぐ
この新たな脆弱性は、過去10年にわたってMicrosoftの製品に見つかった脆弱性とパターンを同じくするものだ。「同社は顧客のセキュリティを第一に考えることができていない」とヨラン氏は主張している。
ヨラン氏は「LinkedIn」の投稿で「侵害や無責任なセキュリティ慣行、そして脆弱性について、Microsoftは透明性を欠いている。それらに関する情報は隠されており、顧客のリスクにつながっている」と述べている。
Tenableによると、Azureのこの脆弱性を利用して、攻撃者はテナント間のアプリケーションや認証情報を含む機密データに、限定的ではあるが不正にアクセスすることが可能になるという。
Tenableは、2023年3月末にこの脆弱性についてMicrosoftに直ちに通知し、同年6月下旬にアップデートを要請した。Microsoftは同年7月6日(現地時間、以下同)に、この問題が修正されたことをTenableに通知した。しかしTenableが修正内容を確認したところ、修正プログラムを回避して不正アクセスする方法が見つかった。
TenableのCSO(最高戦略責任者)兼研究責任者であるロバート・フーバー氏は「Azureにおける認証アクセスを得られた場合、攻撃者はさまざまな手段を利用して不正アクセスが可能となる。顧客やアイデンティティーごとに異なる手段が使われるかもしれない。顧客にとっての問題は、クラウドソリューションプロバイダーの構造を閲覧できないために、何が危険にさらされているのか確認できないことだ」と指摘している。
TenableがMicrosoftに対して、アドバイザリーをリリースする予定であると警告したところ、Microsoftは延期を要請し(注1)、後にアドバイザリーに記載される内容について問い合わせたという。MicrosoftはTenableに対し、修正が完了するのは2023年9月28日になると伝えた。
Microsoftは、当初の修正で顧客の問題のほとんどは解決できたとしており、広報担当者は「セキュリティコミュニティーの協力に感謝しており、現在は脆弱性を完全に解決した」と述べていた。
Microsoftの広報担当者は当時、「徹底的な調査、影響を受ける製品の全てのバージョンに対する更新、他のOSやアプリケーションとの互換性テストなど、脆弱性を解決するための包括的なプロセスに私たちはのっとっている。最終的に、セキュリティアップデートの開発は、顧客の混乱を最小限に抑えながら顧客の保護を最大化することであり、適時性と品質の絶妙なバランスが求められる」とコメントしていた。
Microsoftのセキュリティ慣行は、外部の研究者および顧客との間で繰り返し問題になっている。ここ数カ月は、政府関係者も問題にしている。
2023年7月、中国に関連する攻撃者によって、国務省をはじめとする政府機関がハッキングされ、Microsoftは激しい批判にさらされた。
米オレゴン州選出の上院議員であるロン・ワイデン氏を含む連邦政府関係者から、安全なソフトウェアのために顧客が追加で料金を支払わなければならない理由に関する疑問が呈され、Microsoftはクラウドの顧客に対して無料でセキュリティログ機能を提供することに同意した。
CrowdStrikeのCEOであるジョージ・カーツ氏はMicrosoftをたびたび批判している(注2)。同氏は、この度のヨラン氏のMicrosoftに対する批判に同意し、「Microsoftの慣行は自社の顧客を危険にさらす」と述べた。
カーツ氏は、Microsoftのセキュリティに対する連邦政府の懸念を引き合いに出し、「彼らの壊れたアーキテクチャに問題があると、彼らは責任を取るどころか、被害者に責任転嫁する」と書いている。
Microsoftは近年、重要な買収を実施し、複数のベンダーを統合したい顧客にエンド・ツー・エンドのセキュリティソリューションを提供できる能力を備えている。そのため、Microsoftは自社を情報セキュリティ業界における先駆的な企業と位置付けている。
Tenableは、2022年にも「Azure Synapse Analytics」の脆弱性に関して同様の問題を提起している(注3)。
(注1)Unauthorized Access to Cross-Tenant Applications in Microsoft Power Platform(Tenable)
(注2)Microsoft, under attack from threat actors, positions itself as cyber guardian(Cybersecurity Dive)
(注3)Tenable CEO calls out Microsoft on lack of transparency on vulnerabilities(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
Microsoftの“ずさんなセキュリティ対策”に非難集中 おわびのログ機能無料提供へ
Microsoftは、顧客の電子メールアカウントがハッキング被害に遭った件を受けて、クラウドセキュリティログ機能を無償で提供する予定だ。同社はこの件について連邦政府や競合他社から厳しい批判を受けている。
インシデント対応時間は短縮も…… Log4jの教訓を生かしきれていない企業たち
サイバー攻撃への対応時間は2021年から2022年の間に29日から19日に改善された。これはLog4jの脆弱性の影響が大きいという。
なぜ経営者にリスクが正しく伝わらないのか? セキュリティリーダーに必要な“コミュ力”を磨こう
セキュリティやリスク責任者がデータに関するリスクを意思決定者に正しく伝えるためにすべきことは何か。コミュニケーションが効果的に機能するための3つのステップを紹介しよう。
Microsoftの顧客に起きたハッキング被害 「影響は広範にわたる」と調査報告書
Microsoftの顧客の電子メールアカウントでハッキング被害が起きた件について、セキュリティ企業のWizが公開した調査報告書はOutlook.com以外のデータにもアクセスできる恐れがあると警告した。