「マイクロソフトのセキュリティ文化は不十分であり、抜本的な見直しが必要だ」とサイバーセーフティレビュー委員会は述べている…
知っておくべきこと
- 米国サイバー安全審査委員会の報告書によると、マイクロソフトは中国政府が支援するハッカー集団「Storm-0558」が米国政府職員の電子メールアカウントにアクセスするのを阻止できたはずだという。
- この委員会はバイデン大統領の委託を受け、2023年に米国国土安全保障省によって設立された。
- 報告書では、「Storm-0558 が成功したのは、マイクロソフトのセキュリティ上の失敗が連鎖したためだ」と説明されている。
米国サイバー安全審査委員会(CSRB)の報告書によると、中国政府が支援するハッカー集団による米国政府職員への攻撃は、マイクロソフトによって阻止できた可能性があるという。このハッカー集団は、国家安全保障に携わる米国政府職員を含む22の組織と500人以上のメールにアクセスした。
34ページに及ぶ報告書は、マイクロソフトの従業員による数々の不備を厳しく非難する内容となっています。その中には、セキュリティ侵害を防ぐために実施できたはずの複数の対策も含まれています。取締役会は、マイクロソフトのセキュリティ文化の抜本的な見直しを求めました。
「委員会は、この侵入はあってはならないことであったと結論付けています。Storm-0558は、マイクロソフトにおける一連のセキュリティ上の欠陥によって成功しました」と報告書は述べています。「本日、委員会は、テクノロジーエコシステムの中心に位置するこの重要な企業が、10億人を超える顧客の利益のためにセキュリティを最優先にするよう、マイクロソフトに対し勧告を行います。」
その後、報告書は同様の見解を示し、「今回の侵入を成功させたのは、マイクロソフトの避けられたはずの一連のミスだった」と述べています。これらのミスには、「暗号化技術の最高峰への侵害を検知できなかったこと」や、最近買収した企業の従業員がマイクロソフトの企業ネットワークに接続する前に、そのラップトップが侵害されていたことを検知できなかったことなどが含まれますが、これらに限定されるものではありません。
報告書では、マイクロソフトが誤情報を訂正しなかったことも非難している。
マイクロソフト社は、このインシデントに関する不正確な公式声明を適時に訂正しなかった。これには、侵入の根本原因を特定したとマイクロソフトが考えているという企業声明(実際にはまだ特定できていない)が含まれる。マイクロソフト社は2023年11月に取締役会に対し、根本原因に関する2023年9月6日のブログ投稿が不正確であったことを認めたにもかかわらず、取締役会がレビューを終了し、マイクロソフト社の訂正発表の計画について取締役会が繰り返し質問した後の2024年3月12日までその投稿を更新しなかった。
マイクロソフトは、セキュリティキーのローテーションなど、このインシデントを防ぐためにいくつかの対策を講じることができたはずです。マイクロソフトはキーの手動ローテーションを一時停止していたため、古いキーは引き続き使用できました。キーに関連するもう一つの問題は、マイクロソフトがコンシューマーキーによる企業顧客データへのアクセス認証を許可していたことです。
Windows と Xbox の熱狂的なファンのための最新ニュース、レビュー、ガイド。
この報告書は、マイクロソフトの一連の過失を詳細に分析し、少なくとも取締役会の観点からこのテクノロジー大手が講じる必要のあるいくつかの措置を概説している。
中国ハッカーの要約
米国サイバー安全審査委員会(CSRB)による最近の報告書は、中国政府が支援するハッカーが米国の国家安全保障に関連する情報を含む重要情報にアクセスしたという、現在進行中の一連の騒動の最新のものに過ぎない。この委員会はバイデン米大統領の委託を受けて設置された。
Storm-0558として知られるハッカーグループは、22の組織へのアクセスに成功しました。ハッキングの鍵となったのは、グループがMicrosoftアカウントのコンシューマーキーを入手し、それをOutlookとOutlook.comへのアクセスに使用したことでした。米国サイバーセーフティレビュー委員会によると、Microsoftはキーの盗難経路をまだ特定できていません。昨年9月、MicrosoftはStorm-0558がキーを入手した最も可能性の高い方法はクラッシュダンプから入手したと述べましたが、その後ブログ記事を更新し、キーの入手経路は特定できていないと述べています。
マイクロソフトは昨年9月のブログ投稿が不正確であったことを認めたが、1か月も経たない2024年3月12日まで更新しなかった。「マイクロソフトは2023年11月に取締役会に対し、根本原因に関する2023年9月6日のブログ投稿が不正確であったことを認めたが、取締役会がレビューを締めくくり、マイクロソフトの訂正発表の計画について取締役会が繰り返し質問した後の2024年3月12日までその投稿を更新しなかった」と取締役会の報告書には記されている。
マイクロソフトは、セキュリティ上の脅威と米国サイバーセーフティレビュー委員会(CSRB)の対応に取り組んできました。このテクノロジー大手は、複数のポリシー変更に加え、AIとクラウドの活用を通じて、サイバーセキュリティの強化を計画しています。マイクロソフトは2023年11月、サイバーセキュリティ強化を目的とした3層プログラム「セキュア・フューチャー・イニシアチブ」を発表しました。セキュア・フューチャー・イニシアチブの発表直後、マイクロソフトがAIと自動化によってどのようにセキュリティを強化する計画なのかを詳しく解説しました。
ショーン・エンディコットはWindows Centralのテクノロジージャーナリストで、Windows、Microsoftソフトウェア、AI、PCを専門としています。Windows 10と11からChatGPTのようなAIツールの台頭まで、主要なリリースを取材してきました。ショーンのキャリアはLumia 930から始まり、アプリ開発者との強いつながりを築きました。執筆活動以外では、アメリカンフットボールのコーチも務めており、チームの運営にMicrosoftのサービスを活用しています。ノッティンガム・トレント大学で放送ジャーナリズムを学び、X(@SeanEndicott_)とThreads(@sean_endicott_)で活躍しています。