Microsoft Admits Security Failings Allowed China to Access US Government Emails
2024/06/14 InfoSecurity — 2023年の夏に中国に支援されるハッカーが、米国政府高官の電子メールにアクセスしたインシデントについて、Microsoft の Brad Smith 社長はセキュリティ上の失策を認めた。2024年6月13日に開催された、米下院の国土安全保障委員会のメンバーへの証言で、Cyber Safety Review Board (CSRB) の報告書に記載された全ての問題に対して、Microsoft は “躊躇することなく” 責任を負うと、Smith 社長は述べている。
2024年4月に発表された CSRB 報告書は、中国の脅威アクター Storm-0558 が、米国政府高官も所属する 25の組織の電子メール・アカウントにアクセスした、セキュリティの失敗の連鎖について、Microsoft を非難している。
Storm-0558 はスパイ攻撃を仕掛けるために、事前に入手した Microsoft の暗号キーを使って認証トークンを偽造し、さらに、Microsoft の認証システムの欠陥と組み合わせることで、世界中の Exchange Online アカウントへのフルアクセスを可能にした。
CSRB の調査で判明したのは、Microsoft のセキュリティ文化が不十分であったことだ。その他にも、同社の M&A (合併/買収) におけるセキュリティ侵害の、評価と修復のプロセスにギャップがあり、攻撃者の成功を許したことも明らかになった。
この種の侵入の再発を防ぐために、Microsoft などのクラウド・サービス・プロバイダー 25社に対して、この報告書はサイバー・セキュリティ勧告を定めている。
サイバー・セキュリティにおける Microsoft の役割は?
この委員会での冒頭陳述で Brad Smith は、Microsoft のユニークかつ重要な役割への認識を、ユーザーだけではなく、米国や同盟国に対しても示している。
彼は、「この役割を反映させる対象は、世界 32カ国にあるデータセンターで運用するクラウド・サービスを含めて、個人や組織に提供する幅広い製品とサービスである。そこには、米国と緊密に協力しながら、同盟国の政府のために取り組んでいる、幅広いサイバー・セキュリティのための努力も含まれる」と述べている。
同氏が指摘するのは、ロシアとウクライナの戦争のような地政学的対立の拡大と激化により、これまで以上に危険なサイバーの世界が作り出されている現状である。特に、ロシア/中国/イラン/北朝鮮によるサイバー攻撃は、戦争が始まってから 28ヶ月の間に、十分なリソースに裏付けられた、より多量で洗練されたものに変化している。
さらに Brad Smith は、「いかなる尺度から見ても、無法で攻撃的なサイバー活動は異常なレベルに達している。昨年の1年間で、Microsoft のネットワークと従業員に対する、4700万件のフィッシング攻撃を検知した。その一方で、顧客に対するサイバー攻撃は、1日あたり 3億4500万件も検知されている。したがって、私たちへの攻撃は、比較にならないほどの、ささやかなものだ」と説明している。
また Microsoft は、Storm-0558 攻撃により影響を受けた、政府関係者を含む人々に謝罪し、深い遺憾の意を表明するとも述べている。
サイバー・セキュリティ保護強化へのコミットメント
Brad Smith によると、CSRB の報告書を契機として、Microsoft はサイバー・セキュリティ保護を全面的に強化していくようだ。
Microsoft は、具体的に適用される 16の勧告を実施するために行動を起こしている。
Brad Smith は、個人および企業へ向けた ID システムについて、鍵の保管と生成にハードウェア・セキュリティ・モジュールを活用する、新しい強固な鍵管理システムへと移行させている最中だと表明している。また、トークンが検証される全ての場所で、独自のデータと、それに対応する検知信号を展開しているという。
Microsoft のシニア・リーダーシップ・チームが、CSRB の報告書を踏まえて自社のセキュリティ文化を見直し、セキュリティを何よりも優先させるという方針を社員に伝えたと、Smith は付け加えている。この方針には、新機能のリリースやレガシー・システムの継続的なサポートよりも、セキュリティを優先させることも含まれる。
今年度の Microsoft は、1600人のセキュリティ・エンジニアを増員している。そして来年度には、さらに800人のセキュリティ・ポジションを増員して、この企業文化の変革を支援する予定であるという。
さらに Microsoft は、さまざまなエンジニアリング・チームの管理を拡大し、エンジニアリングの意思決定とプロセスに、セキュリティがビルトインされていることを評価するために、上級レベルの Deputy CISO を擁する CISO 室を創設した。
この証言の中で Smith は、2023年11月に開始された Microsoft の Secure Future Initiative (SFI) についても強調している。このイニシアチブは、Microsoft の製品やサービスにおける設計/テスト/運用の方法を進化させ、Secure by Design と Secure by Default 原則を、確実に組み込むことを目的としている。
彼は、「要約すると、私たちは過去の責任を認め、そこで学んだことを、安全な未来を築くために適用している。新たな戦略を追求し、より多くのリソースを投入し、より強固なサイバー・セキュリティ文化を醸成していく」とコメントしている。
Windows Recall 機能の展開を延期
6月13日の Smith 証言の直後に Microsoft は、Windows Insider コミュニティからのフィードバックを受け、Copilot and Windows PC 向けに予定していた、Recall AI 機能の展開を延期すると発表した。
同社のブログには、2024年6月18日に予定されていた、Recall の Copilot+ PC 向けのプレビュー・エクスペリエンスは、Windows Insider Program (WIP) でのプレビューに移行すると述べた。それは、今後の数週間以内に開始されるという。つまり、AI を搭載した機能の、セキュリティ・テストのための時間を確保する必要があるのだろう。
つまり、Recall の目的である、ユーザーの行動を遡った検索は、ユーザーのデバイスを継続的に記録するものであり、機密情報を含むプライバシーへの懸念があるからだ。6月7日に Microsoft が発表したのは、Recall のオプトインを明確に選択できるようにするというものだった。その方針が、アップデートされたことになる。
たしかに、今年に入ってからの Microsoft は、APT による攻撃に翻弄されていた感があります。そして、米政府は、中国の脅威アクター Storm-0558 による侵害が深刻だと指摘しています。その一方で、2024/04/12 の「Midnight Blizzard による Microsoft 侵害:CISA から連邦政府への緊急警告とは?」では、CISA の警鐘が紹介されています。かなり高いハードルを、Microsoft は突きつけられているようですが、セキュリティの在り方を率先して変えていく立場にあるのは確かだと思います。
IoT OT Security News 
You must be logged in to post a comment.