「ずさんなセキュリティ」「無責任」──不正アクセス巡り、米Microsoftへの批判噴出：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　Microsoftのクラウドサービスを利用していた米国務省や商務省の電子メールアカウントが、不正アクセスの被害に遭っていたことが分かった。ハッカー集団はクラウドサービスにアクセスするための暗号鍵を入手し、Microsoftのシステムの脆弱性を悪用していたとされ、Microsoftに対して「セキュリティ慣行がずさん」「無責任」などと非難する声が上がっている。

　米政府機関など約25の組織の電子メールに対する不正アクセスについて、Microsoftが明らかにしたのは7月11日だった。電子メールサービス「Exchange Online」のデータに対する不審なアクセスについて6月16日に顧客から連絡があり、調べた結果、中国のスパイ活動を目的とする組織「Storm-0558」が5月15日から不正アクセスを続けていたことが分かったと発表した。

不正アクセスに関するMicrosoftの発表

　Microsoftによると、Storm-0558は使われていないマネージドサービスアカウント（MSA）コンシューマー署名鍵を入手し、トークン検証の問題を突いて認証トークンを偽造。正規のAzure ADユーザーになりすまし、Outlook.comとExchange OnlineのOutlook Web Access（OWA）を使って標的とする組織の電子メールアカウントに侵入していた。

　報道によれば、米国務省や商務省、在中国米大使館などの電子メールが不正アクセスの被害に遭い、数十万通のメールが流出した可能性がある。

Microsoftへの不満噴出　「はなはだ無責任」

　この問題をきっかけに、Microsoftのクラウドサービスのセキュリティ対策や脆弱性対応に対する批判が噴出した。

　「Microsoftのずさんなサイバーセキュリティ慣行のために、米政府に対する中国のスパイ活動が成功した」と主張するのは、米上院議員のロン・ワイデン氏。司法省などに宛てた書簡で、Microsoftの責任を問うために行動を起こすよう要請した。

米上院議員のロン・ワイデン氏の主張

　「外国政府が暗号鍵を盗み、Microsoftの認証情報を偽造して米政府の電子メールをハッキングしたスパイ活動は今回が初めてではない」。ワイデン議員はそう続け、ロシアが関与したとされる20年のSolar Windsハッキング事件を例に挙げている。「Microsoftは17年以来、同社のソフトウェアを使っている顧客のサーバからひそかに暗号鍵が抜き取られる可能性があることを知っていながら、顧客への注意喚起を怠った」と述べ、この事件についてもMicrosoftは責任を取らなかったと批判している。

　米国のサイバ−セキュリティ企業Tenableのアミット・ヨーランCEOも「露骨な怠慢とは言わないまでも、はなはだ無責任」とMicrosoftに矛先を向けた。ヨーラン氏は米国土安全保障省の国家サイバーセキュリティ局長を務めた経歴があり、「Microsoftの場合、脆弱性の重大性を否定する文化がある」と語っている。

　その発言の背景にあるのは、TenableがAzureの重大な脆弱性を発見してMicrosoftに連絡した際の対応だった。この脆弱性については3月30日にMicrosoftに通知したにもかかわらず「4カ月たっても完全な修正が行われていない」とヨーラン氏は訴える。この脆弱性を悪用すれば、銀行の機密情報への不正アクセスも可能だという。

　ヨーラン氏は「Microsofは侵害についても、無責任なセキュリティ慣行についても、脆弱性についても透明性が欠如している。リスクは意図的に隠され、顧客が危険にさらされている」とコメント。

　「Microsoftは『ただわれわれを信頼してほしい』と言うばかりで、その文化は透明性がほとんどなく、有害で不明瞭だ。そのパターンや現在の行動を見て、Microsoftが正しいことをしていると、CISOや企業経営者がどうして信じられるだろうか。Microsoftがやってきたことは、私たち全員を危険にさらしている。私たちが思っているよりずっと悪い」（ヨーラン氏）

　メディアがこの問題を報じた後の8月4日、MicrosoftはTenableに指摘された脆弱性を修正したことを明らかにした。「われわれの調査の結果、確認された異常アクセスはこのインシデントを報告したセキュリティ研究者によるもののみで、それ以外の行為者はみとめられなかった」と説明している。

Microsoftが8月4日に報告した修正内容