2023年夏に中国によって行われたMicrosoft Exchangeのハッキングについて、米国サイバーセーフティーレビューボードが報告書を発表した。この攻撃は深刻であり、発生すべきではなかったとされ、Microsoftのセキュリティ文化は不十分であり、特に同社が技術エコシステムにおいて中心的な役割を果たし、顧客がデータと運用の保護に対して同社に寄せる信頼の度合いを考慮すると、大幅な見直しが必要であると結論付けられた。この結論は、Microsoftの回避可能だったミスの連鎖、同社が自社の暗号技術の重要部分の侵害を自力で検出できず、顧客からの指摘に頼ったこと、他のクラウドサービスプロバイダーのセキュリティ対策との比較、2021年に買収した会社の従業員のラップトップがMicrosoftの企業ネットワークに接続される前に侵害されたことの検出失敗、このインシデントに関する不正確な公表情報の訂正を適時に行わなかったこと、2023年11月にMicrosoftが9月6日のブログ投稿に誤りがあったことを認めたにもかかわらず、訂正が2024年3月12日まで行われなかったこと、2024年1月にMicrosoftが公表した別のインシデントが異なる国家によるアクターによってMicrosoftの極めて機密性の高い企業メールアカウント、ソースコードリポジトリ、内部システムへのアクセスを許したこと、そしてMicrosoftの製品が国家安全保障、経済の基盤、公衆衛生と安全を支える重要なサービスの基盤となっていることから、同社が最高水準のセキュリティ、説明責任、透明性を示す必要があるという評価に基づいている。報告書には多くの推奨事項が含まれており、全文を読む価値がある。このボードは2022年初頭に、国家運輸安全委員会をモデルに設立され、これが3つ目の報告書である。
【ニュース解説】
2023年夏、中国によるMicrosoft Exchangeへのハッキング事件が発生しました。この攻撃は、米国サイバーセーフティーレビューボードによって深刻なものと評価され、その報告書が公開されました。報告書では、この侵入は防げたはずであり、Microsoftのセキュリティ文化に大幅な見直しが必要であると結論付けられています。Microsoftは技術エコシステムの中心的な役割を果たしており、顧客からの信頼が非常に高いため、その責任は重大です。
この事件は、Microsoftの一連の回避可能なミスによって成功したとされています。特に、Microsoftが自社の暗号技術の重要部分の侵害を自力で検出できず、顧客からの指摘に頼ったこと、他のクラウドサービスプロバイダーと比較してセキュリティ対策が不足していたこと、買収した会社の従業員のラップトップが侵害されたにもかかわらず、Microsoftの企業ネットワークに接続されたことなどが指摘されています。
この報告書は、Microsoftだけでなく、他の技術企業にとっても重要な教訓を含んでいます。セキュリティは、単に技術的な問題ではなく、組織全体の文化として取り組むべきものであることを示しています。また、顧客からのフィードバックを真摯に受け止め、迅速に対応することの重要性も浮き彫りにしています。
この事件のポジティブな側面としては、セキュリティ対策の重要性が再認識され、Microsoftを含む多くの企業がセキュリティ文化の見直しや強化に取り組むきっかけとなったことが挙げられます。しかし、潜在的なリスクとしては、このような攻撃が今後も続く可能性があり、特に国家レベルのアクターによるサイバー攻撃は、より巧妙で、より深刻な影響を及ぼす可能性があることです。
規制に与える影響としては、この事件を受けて、サイバーセキュリティに関する規制や基準が強化される可能性があります。また、企業がセキュリティ対策をどのように実施しているかについて、より透明性を持って公表することが求められるようになるかもしれません。
将来への影響としては、この事件がサイバーセキュリティの重要性を改めて浮き彫りにし、企業がセキュリティ対策により多くの投資を行うきっかけとなることが期待されます。長期的には、より安全なデジタル環境の構築に向けた取り組みが加速することが予想されます。
from US Cyber Safety Review Board on the 2023 Microsoft Exchange Hack.
