コンテンツにスキップするには Enter キーを押してください

マイクロソフトのソフトウェアライセンス戦略は国家安全保障上のリスクである

投稿日 2025年7月28日

ここ2週間で2件の重大なマイクロソフトのセキュリティ事件が報じられました。これは、単に侵害そのものだけでなく、同社のビジネスのやり方が明らかになった点でも、すべての連邦機関にとって懸念すべきことです。

まず、ProPublicaは、マイクロソフトが十分な資格を持たない下請け業者の監督のもと、中国人技術者に米軍の機密クラウドプロジェクトに携わらせていたことを明らかにしました。次に、全世界的なサイバー攻撃が発生し、マイクロソフトのSharePointの重大な脆弱性が悪用され、米国の政府機関、大学、エネルギー企業が侵害されました。この脆弱性にはいまだに既知の修正策がありません。

これらは孤立した事件ではありません。これは、制限的かつ反競争的なソフトウェアライセンス慣行を中心に構築されたビジネスモデルの症状です。

マイクロソフトのセキュリティの失敗は、何度も連邦政府の成長機会へと変わっています。2021年のサイバー攻撃の後、マイクロソフトはバイデン政権に1億5,000万ドル相当の無料サイバーセキュリティアップグレードを約束しました。しかし、最初に明かされなかったことがあります。これらの無償提供は、政府機関をマイクロソフトのツールにロックインし、乗り換えを高額かつ複雑にしました。機関がロックインされた後、マイクロソフトは価格を引き上げました。これは慈善や善意ではなく、競合他社を排除し、長期契約を獲得し、連邦政府のマイクロソフト依存を深めるための計算された戦略でした。

そして2023年、中国のハッカー集団Storm-0558が、マイクロソフトのクラウドメールサービスの脆弱性を悪用しました。彼らは、米国政府高官を含む世界中の500人以上と22の組織を侵害しました。サイバー安全審査委員会(CSRB)による34ページの報告書は、マイクロソフトのセキュリティ文化を「不十分」と評し、同社の技術エコシステムにおける中心的役割を考慮すると「抜本的な見直しが必要」と警告しました。報告書は、マイクロソフトのCEOと取締役会が「迅速な文化的変革」を実施し、会社全体およびすべての製品群にわたる根本的でセキュリティ重視の改革について、具体的なタイムラインを含む計画を公表すべきだと述べています。

CSRBはまた、マイクロソフトの遅延かつ不透明な情報開示を批判しました。同社は、侵害の原因について誤解を招く2023年9月のブログ投稿を、調査官から数か月にわたる追及を受けた後、2024年3月になってようやく訂正しました。

一方、2024年初頭には、ロシアのハッカー集団Midnight Blizzardがマイクロソフトの企業システムに侵入しました。当初は限定的な事件と説明されていましたが、後にマイクロソフトは侵害がはるかに広範囲であったことを認めました。ハッカーは機密性の高い社内メールや、マイクロソフトのソースコードにまでアクセスしていました。同社によれば、Midnight Blizzardは顧客メールで得た情報を使い、さらなる攻撃を仕掛けている可能性があるとのことです。

2024年6月の米下院国土安全保障委員会で一連のサイバーセキュリティ事件について取り上げられた際、マイクロソフト副会長兼社長のブラッド・スミス氏は、「プランBを売りたい人たちにとって悪いニュースは、公共部門の顧客は『乗り換えたくない。私たちに正しくやってほしいと思っている。私たちはそれに応えなければならない』ということです」と証言しました。

スミス氏の言うことは半分正しいですが、顧客がプランBを見ていないのは、実質的に他のプロバイダーへの乗り換えの選択肢が断たれているからです。これらすべての根底にあるのが、マイクロソフトのソフトウェアライセンス戦略です。同社は、主要な生産性ソフトウェアを30以上の製品を含む拡大し続けるバンドルに結び付け、サードパーティプロバイダーとの連携を制限し、顧客がシステムを多様化することを困難にし、既に購入したソフトウェアを他のクラウドプロバイダーで利用する方法も制限しています。これらの慣行は単なる顧客の囲い込み戦略ではなく、極めて現実的なセキュリティ上の懸念です。週末にSharePointのハッキングについてマイクロソフトから警告を受けたすべての顧客は、それを痛感したことでしょう。

これらの慣行は、企業をサイバーセキュリティ上の脆弱性にさらすだけでなく、重大な独占禁止法上の懸念も引き起こしており、連邦取引委員会をはじめ、世界中の規制当局による調査の対象となっています。

マイクロソフトの最大の顧客である米国政府は、この脅威に目を覚ます必要があります。顧客がマイクロソフトのソフトウェアをライセンスする際、単にツールを購入しているわけではありません。彼らは、離脱が困難で選択肢が限られ、セキュリティがしばしばリスクとなるシステムに組み込まれているのです。

問題は、マイクロソフトが最新の失敗にどう対応するかではありません。同社の何十年にもわたる手法—政府の対応不足を非難し、侵害後に無料アップグレードを提供してから値上げし、ロックインを深める—は、「問題なし」と言いながら脆弱性を利用する姿勢を示唆しています。

本当の問題は、政府がライセンス制限を国家的依存へ、脆弱性を利益へと変えるモデルを今後も受け入れ続け、我が国の最も重要な情報を繰り返し敵対者にさらし続けるのかどうか、ということです。

ライアン・トリプレットは、公正なソフトウェアライセンス連合の事務局長です。

翻訳元: https://cyberscoop.com/microsoft-software-licensing-national-security/

Published in cyberscoop-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です