「Microsoftアカウントの侵害」で苦境に立つ当事者 もはや弁明の余地なし：Microsoftに問う「安全対策とは何か」【後編】

中国系サイバー犯罪集団による「Microsoftアカウント」を狙った攻撃を巡り、Microsoftに対する批判が後を絶たない。批判されているのは具体的にどういうことなのか。

[Arielle Waldman，TechTarget]

　ある攻撃活動を巡り、Microsoftに批判が集中している。中国のサイバー犯罪集団Storm-0558がシングルサインオンツール「Microsoftアカウント」（MSA：Microsoft account）のコンシューマーキー（身分証）を不正入手し、ユーザー組織のアカウントに侵入した件だ。この攻撃に気付いたのは、Microsoftではなかった。攻撃発見の経緯を踏まえつつ、Microsoftになぜ批判が集まっているのかを整理しよう。

もはや弁明できない？　Microsoftに批判殺到の訳

併せて読みたいお薦め記事

連載：Microsoftに問う「安全対策とは何か」

• 前編：誰もがぞっとする「Microsoftアカウント」の侵害はなぜ起きたのか

Microsoft製品のセキュリティリスクとは

• ロシア系攻撃集団が狙う「Microsoft Office」の脆弱性　なぜ危ない？
• 「Microsoft 365」を狙うフィッシング攻撃は“あの基本機能”を悪用していた

　Storm-0558の攻撃があったことについて、Microsoftは連邦民間行政機関（FCEB）から報告を受けた。サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）によると、FCEBが攻撃を検知できたのは、Microsoftよりも詳細なセキュリティ監視を実施しているためだ。MicrosoftはFCEBの報告を受けてから、セキュリティを強化する方針を打ち出した。だが同社には、攻撃を巡る情報提供が不十分だったことについてセキュリティ専門家からの批判が集中した。

　MSAのコンシューマーキーを使って法人のメールアカウントにアクセスできたのはなぜなのか――セキュリティ専門家はそう疑問を呈した。これに関してMicrosoftは、一般消費者向けと法人向けの両方のアカウントを使っているユーザーにとっての利便性向上を目指しており、そのための技術導入が原因だと説明する。その技術は2018年9月に導入したという。同社は今回のような攻撃の再発防止策として、データ流出を検知する仕組みを見直す方針だ。

　Storm-0558の攻撃を巡るMicrosoftの動きについて、セキュリティ専門家だけではなく、米国政府の関係者も批判した。Storm-0558の攻撃の目的は、米国の連邦政府機関を含めた組織から機密情報を盗み、スパイ活動に使うことだとみられる。ロン・ワイデン上院議員（民主党）は2023年8月に公開した書簡で、「米国政府に対する中国のスパイ活動を可能にした、ずさんなセキュリティ対策についてMicrosoftは責任を負うべきだ」と述べた。

　米国土安全保障省（DHS）は2023年8月、クラウドサービスのセキュリティリスクの詳細な評価と、クラウドベンダー側における認証情報管理の強化に向けた取り組みに着手したと発表した。セキュリティリスクの評価には、Storm-0558の攻撃活動も含まれるという。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。