「ずさんなセキュリティ」「無責任」──不正アクセス巡り、米Microsoftへの批判噴出:この頃、セキュリティ界隈で
Microsoftのクラウドサービスを利用していた米国務省や商務省の電子メールアカウントが、不正アクセスの被害に遭っていたことが分かった。これを受け、Microsoftに対して「セキュリティ慣行がずさん」「無責任」などと非難する声が上がっている。
Microsoftのクラウドサービスを利用していた米国務省や商務省の電子メールアカウントが、不正アクセスの被害に遭っていたことが分かった。ハッカー集団はクラウドサービスにアクセスするための暗号鍵を入手し、Microsoftのシステムの脆弱性を悪用していたとされ、Microsoftに対して「セキュリティ慣行がずさん」「無責任」などと非難する声が上がっている。
米政府機関など約25の組織の電子メールに対する不正アクセスについて、Microsoftが明らかにしたのは7月11日だった。電子メールサービス「Exchange Online」のデータに対する不審なアクセスについて6月16日に顧客から連絡があり、調べた結果、中国のスパイ活動を目的とする組織「Storm-0558」が5月15日から不正アクセスを続けていたことが分かったと発表した。
Microsoftによると、Storm-0558は使われていないマネージドサービスアカウント(MSA)コンシューマー署名鍵を入手し、トークン検証の問題を突いて認証トークンを偽造。正規のAzure ADユーザーになりすまし、Outlook.comとExchange OnlineのOutlook Web Access(OWA)を使って標的とする組織の電子メールアカウントに侵入していた。
報道によれば、米国務省や商務省、在中国米大使館などの電子メールが不正アクセスの被害に遭い、数十万通のメールが流出した可能性がある。
Microsoftへの不満噴出 「はなはだ無責任」
この問題をきっかけに、Microsoftのクラウドサービスのセキュリティ対策や脆弱性対応に対する批判が噴出した。
「Microsoftのずさんなサイバーセキュリティ慣行のために、米政府に対する中国のスパイ活動が成功した」と主張するのは、米上院議員のロン・ワイデン氏。司法省などに宛てた書簡で、Microsoftの責任を問うために行動を起こすよう要請した。
「外国政府が暗号鍵を盗み、Microsoftの認証情報を偽造して米政府の電子メールをハッキングしたスパイ活動は今回が初めてではない」。ワイデン議員はそう続け、ロシアが関与したとされる20年のSolar Windsハッキング事件を例に挙げている。「Microsoftは17年以来、同社のソフトウェアを使っている顧客のサーバからひそかに暗号鍵が抜き取られる可能性があることを知っていながら、顧客への注意喚起を怠った」と述べ、この事件についてもMicrosoftは責任を取らなかったと批判している。
米国のサイバ−セキュリティ企業Tenableのアミット・ヨーランCEOも「露骨な怠慢とは言わないまでも、はなはだ無責任」とMicrosoftに矛先を向けた。ヨーラン氏は米国土安全保障省の国家サイバーセキュリティ局長を務めた経歴があり、「Microsoftの場合、脆弱性の重大性を否定する文化がある」と語っている。
その発言の背景にあるのは、TenableがAzureの重大な脆弱性を発見してMicrosoftに連絡した際の対応だった。この脆弱性については3月30日にMicrosoftに通知したにもかかわらず「4カ月たっても完全な修正が行われていない」とヨーラン氏は訴える。この脆弱性を悪用すれば、銀行の機密情報への不正アクセスも可能だという。
ヨーラン氏は「Microsofは侵害についても、無責任なセキュリティ慣行についても、脆弱性についても透明性が欠如している。リスクは意図的に隠され、顧客が危険にさらされている」とコメント。
「Microsoftは『ただわれわれを信頼してほしい』と言うばかりで、その文化は透明性がほとんどなく、有害で不明瞭だ。そのパターンや現在の行動を見て、Microsoftが正しいことをしていると、CISOや企業経営者がどうして信じられるだろうか。Microsoftがやってきたことは、私たち全員を危険にさらしている。私たちが思っているよりずっと悪い」(ヨーラン氏)
メディアがこの問題を報じた後の8月4日、MicrosoftはTenableに指摘された脆弱性を修正したことを明らかにした。「われわれの調査の結果、確認された異常アクセスはこのインシデントを報告したセキュリティ研究者によるもののみで、それ以外の行為者はみとめられなかった」と説明している。
関連記事
- サーバダウンはなぜ起きる? AWSやMicrosoftでも発生、原因と対策は
クラウド最大手の米Amazon Web Services(AWS)や「Microsoft 365」では6月、サーバがダウンしてサービスが一時的に使えなくなる障害が発生した。AmazonやMicrosoftのような最先端企業でさえも防ぎ切れないサーバダウンは、なぜ起きるのか。 - Microsoft、6月初旬のOutlookやOneDriveのアクセス障害はDDoS攻撃の影響と認める
Microsoftは、6月初旬に発生したOutlook、OneDrive、Azure Portalのアクセス障害の原因が、DDoS攻撃だったと認めた。顧客データへの影響はなかったとしている。「Anonymous Sudan」と名乗るグループがTelegramに犯行声明を出した。 - 欧州委員会、TeamsのMicrosoft 365バンドルの独禁法違反可能性について正式調査開始
EUの欧州委員会は、Microsoftが「Teams」を「Microsoft 365」にバンドルするのは独禁法に違反している可能性があるとして正式な調査を開始した。この件については2020年にSlackがEUに提訴している。 - ソフトバンクが日本MSと提携 マイクロソフトの“自社版ChatGPT作成サービス”など、導入支援を加速
ソフトバンクが日本マイクロソフトと提携。クラウドサービス「Microsoft Azure」に加え、大規模言語モデル「GPT-3.5」などのAPIをAzure上で使える「Azure OpenAI Service」といったサービスの導入支援を加速する。 - 米Microsoftら、“コーディング専用”大規模言語モデル「WizardCoder」開発 文章から高品質なコード出力
米Microsoftや香港浸会大学に所属する研究者らは、米Hugging Faceが5月に発表したCode LLM(コーディング専用大規模言語モデル)「StarCoder」を軽量で高精度に強化する手法を提案した研究報告を発表した。
Copyright © ITmedia, Inc. All Rights Reserved.