マイクロソフトの「デジタルエスコート」が米国防諜活動の重大な盲点を露呈

2025年7月15日、ProPublicaは、マイクロソフトが約10年にわたり、中国拠点のエンジニアに米国国防総省（DoD）の機密クラウドシステムのリモートサポートを許可していたことを明らかにする大規模な調査報道を発表しました。米国の国家安全保障クリアランスを持つ米国拠点の人員が、外国人エンジニアから提供されたコマンドをペンタゴン関連インフラに入力する「デジタルエスコート」プログラムとして知られる回避策を利用していたことが、連邦機関内でどの程度認識されていたのかは依然として疑問が残ります。

議会がデジタルエスコートの運用を追及 ― マイクロソフトは方針を転換

トム・コットン上院議員（共和党・アーカンソー州）は即時の説明責任を要求しました。国防総省への書簡で、コットン議員は中国人スタッフを使ってDoDシステムの保守やサポートを行っているDoD契約業者のリストを求めました。また、デジタルエスコートが不審な活動を識別するための訓練プロトコルについても質問しました。さらに、マイクロソフト（または他の組織）のためにデジタルエスコートを雇用している下請け業者と、その面接・技術評価プロセスのリストも要求しました。 

マイクロソフトは広報責任者フランク・X・ショウを通じて、ソーシャルネットワーキングプラットフォームX（旧Twitter）で全面的な方針転換を発表しました。「マイクロソフトは、米国政府顧客向けサポートについて、DoD政府クラウドおよび関連サービスに対して中国拠点のエンジニアリングチームが技術支援を提供しないよう変更しました。」同社はサービスの安全性へのコミットメントを強調し、国家安全保障パートナーと協力してプロトコルの評価と調整を行うと約束しました。

プログラムの内容と仕組み

ProPublicaによると、デジタルエスコートモデルは、外国人が政府の機密システムに直接アクセスすることを禁じる連邦契約規則に準拠するために設計されていました。この枠組みの下で：

• 中国拠点のエンジニアが、ファイアウォールの更新やバグ修正などの作業のためにサポートチケットを提出する。
• 米国拠点のエスコート（多くはクリアランスを持つ元軍人）が、エンジニアから提供されたコマンドをDoDクラウド環境にコピー＆ペーストする。
• これらのエスコートは、実行するコードを精査する技術的専門知識を持たないことが多く、セキュリティ上の盲点となっていた。

マイクロソフトは、グローバルサポート担当者が「顧客データやシステムに直接アクセスすることはない」とし、エスコートには機密データ保護の訓練を施していると主張しました。しかし、内部関係者や元従業員はProPublicaに対し、このシステムは本質的にリスクが高く、防衛情報システム局（DISA）の上級職員でさえ十分に理解していなかったと語っています。

指摘されたリスクと専門家の警告

私はサイバーセキュリティ分野で最も技術的な人間ではないかもしれませんが、これらのリスクは理論上のものではなかったようです。専門家は複数の脆弱性を指摘しています：

• 悪意あるコードの挿入：エスコートが気付かずに、システムの完全性を損なうスクリプトを実行してしまう可能性がある。
• スパイ活動の可能性：中国のエンジニアはシステムの構成やワークフローを把握でき、情報収集の経路となる。
• コンプライアンスの抜け道：エスコートモデルにより、マイクロソフトは技術的には連邦要件を満たしつつ、その本来の意図を回避できてしまう。

元CIA・NSA幹部のハリー・コーカー氏は、このプログラムを「スパイにとって絶好の機会」と表現しました。イェール大学ロースクールのジェレミー・ダウム氏は、中国の法律により市民や企業が政府からのデータ要求を拒否するのが困難であることを強調し、「それがクロスボーダーサポートに内在するリスクだ」と述べています。

私自身、長年ヒューミント（人的情報）担当官を務めてきた者として率直に言えば、もし信頼された内部関係者が興味のあるシステムにコードを流し込む経路を作ったとしたら、それは情報収集の高速道路を作ったようなものであり、あの有名な「自己満足型アイスクリームコーン」に匹敵するほど効率的かつ自律的なものとなるでしょう。表向きはサイバー管理やコンプライアンス業務というもっともらしいカバーです。 

マイクロソフトを擁護するなら、DoD内で広く認識されていなかったことからも、これを防ぐための歯止めは存在しなかったようです。バイデン政権下の元DoD CIOジョン・シャーマン氏はProPublicaに「私はこれについて知っておくべきだったかもしれない」と語り、このシステムが省庁にとって重大なセキュリティリスクであるとし、「DISA、サイバーコマンド、その他関係者による徹底的な見直し」を求めました。

DISAは、外国人エンジニアに与えられたアクセスレベルに注目し、デジタルエスコートの本来の意図を見過ごしていたようです。DISAは「エスコート監督下の専門家は政府システムへの直接的なハンズオンアクセスは持たず、認可された管理者にガイダンスや推奨を提供するだけ」と述べています。しかし、ProPublicaが示すように、エスコート自身がDoDシステムに挿入される脅威を見抜く技術力を持たなかったのであれば、疑問が残ります。

国防総省の対応

関係者は身構え、責任のなすりつけ合いが始まっています。ピート・ヘグセス国防長官はこの慣行を非難し、「外国人エンジニアは、どの国であれ、もちろん中国も含めて、DoDシステムの保守やアクセスを決して許可されるべきではない」と述べました。彼は同様の脆弱性を特定するため、すべてのクラウド契約の2週間監査を命じました。

マイクロソフトが注目されていますが、他のクラウドベンダー ― アマゾン・ウェブ・サービス、グーグルクラウド、オラクル ― も、機密性の高い政府プログラムをサポートする際にデジタルエスコートや外国人エンジニアを利用しているかどうかについては言及していません。ProPublicaによれば、これらのベンダーはいずれも回答しなかったか、コメントしなかったとのことです。

2025年7月21日現在、この監査は進行中であり、結果は未発表です。その結果は、デジタルエスコート型のシステムが他にも存在するか、また連邦の監督体制が技術サポートのグローバル化に追いついているかどうかを明らかにするかもしれません。

今後の展開

DoDは、マイクロソフトのようなベンダーの常識にシステムの完全性とセキュリティを委ねていたようです。デジタルエスコートは技術的には連邦契約基準を満たしていたかもしれませんが、外国人エンジニアの利用は、外国からのアクセスやスパイ活動を防ぐという基本的な防諜の原則や意図に反していたように思われます。

ペンタゴンの監査が進む中、問われているのはマイクロソフトが一線を越えたかどうかだけでなく、その「一線」自体が明確に引かれていたのかどうか、という点です。