米国のサイバーセーフティーレビューボード(CSRB)は、中国に拠点を置く国家支援のハッカーグループ「Storm-0558」によって昨年、ヨーロッパと米国の約22社が侵害された事件について、Microsoftの一連のセキュリティ上の失敗を批判した。国土安全保障省(DHS)が公表した調査結果によると、この侵入は防げたものであり、Microsoftの回避可能なエラーの連鎖によって成功したとされる。
DHSの声明では、Microsoftの運用と戦略的決定の一連が、企業のセキュリティ投資と厳格なリスク管理を軽視する企業文化を示しており、同社が技術エコシステムで中心的な役割を果たし、顧客が同社に対してデータと運用の保護に対する信頼を置いていることと矛盾していると指摘された。また、Microsoftは自らの侵害を検出できず、顧客からの連絡に頼っていたこと、自動キー回転ソリューションの開発を優先せず、現在の脅威環境のニーズに応えるためにレガシーインフラを再設計しなかったことも問題視された。
この事件は2023年7月にMicrosoftがStorm-0558が22の組織と500以上の個人消費者アカウントに無許可でアクセスしたことを明らかにしたときに初めて表面化した。Microsoftは、Azure Active Directory(Azure AD)トークンがStorm-0558によってMicrosoftアカウント(MSA)消費者署名キーを使用して偽造され、敵がメールボックスに侵入することを可能にしたと述べた。
Microsoftは、2023年9月にStorm-0558が消費者署名キーを取得し、トークンを偽造するために、クラッシュダンプをホスティングするデバッグ環境にアクセスできるエンジニアの企業アカウントを侵害したことを明らかにした。Microsoftは2024年3月の更新で、影響を受けるキーマテリアルを含むクラッシュダンプをまだ特定できていないと認め、ハックに関する調査が継続中であると述べた。
中国は攻撃の背後にいるという非難を拒否している。CSRBの暫定副議長であるDmitri Alperovitchは、「この攻撃者は業界で20年以上にわたって追跡されており、2009年のOperation Auroraや2011年のRSA SecureIDの侵害に関連している」と述べ、中国政府に関心のある個人のメールを含む機密データにアクセスするために、身元確認システムを侵害する能力と意図を持つ、中国人民共和国に関連するハッカーグループであると指摘した。
【ニュース解説】
昨年、中国に拠点を置く国家支援のハッカーグループ「Storm-0558」によって、ヨーロッパと米国の約22社が侵害されるという事件が発生しました。この事件について、米国のサイバーセーフティーレビューボード(CSRB)は、Microsoftが一連のセキュリティ上の失敗により、この侵入を防げなかったと批判しています。国土安全保障省(DHS)によると、この侵入はMicrosoftの回避可能なエラーの連鎖によって成功したとされ、Microsoftの運用と戦略的決定が、企業のセキュリティ投資と厳格なリスク管理を軽視する企業文化を示していると指摘されました。
この事件は、Microsoftが自らの侵害を検出できず、顧客からの連絡に頼っていたこと、自動キー回転ソリューションの開発を優先せず、現在の脅威環境のニーズに応えるためにレガシーインフラを再設計しなかったことなど、いくつかの問題点を浮き彫りにしました。
この事件の背後にいるStorm-0558は、過去にも2009年のOperation Auroraや2011年のRSA SecureIDの侵害に関連しており、中国政府に関心のある個人のメールを含む機密データにアクセスするために、身元確認システムを侵害する能力と意図を持つグループとされています。
この事件は、企業がセキュリティ対策をどのように優先すべきか、また、現代の脅威環境においてどのように対応すべきかという重要な議論を提起します。特に、クラウドサービスプロバイダーに対しては、現代の制御メカニズムと基本的な実践を実装し、クラウドサービスにおけるデフォルトの監査ログの最低基準を採用し、新たなデジタルアイデンティティ基準を取り入れることが推奨されています。
また、この事件は、企業がセキュリティの文化をどのように構築し、維持するか、そして脅威に対してどのように迅速かつ効果的に対応するかという点においても、重要な教訓を提供します。セキュリティは単に技術的な問題ではなく、組織全体の文化と戦略的な優先事項に関わる問題であることが、この事件を通じて改めて強調されています。
from U.S. Cyber Safety Board Slams Microsoft Over Breach by China-Based Hackers.
