米国の上院議員が、米政府のメールを侵害した中国のサイバー攻撃キャンペーンについて、ホワイトハウスがマイクロソフトの責任を追及するよう求めた。
公開書簡の中で、オレゴン州選出の民主党上院議員ロン・ワイデン氏は、「米政府に対する中国の諜報キャンペーンの成功を可能にした、同社の過失あるサイバーセキュリティ慣行について、マイクロソフトは『責任』を負うべきだ」と述べた。
2023年7月27日付のこの書簡は、サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)長官のジェン・イースタリー氏、連邦取引委員会(FTC)委員長のリナ・カーン氏、そして米司法省のメリック・B・ガーランド司法長官に宛てられた。
この書簡は、Exchange OnlineのOutlookデータが流出(持ち出し)したハッキングキャンペーンの発見に関するものだ。7月12日、CISAとFBIは、この発見を受け、Microsoft Exchange Online環境の監視強化に関する指針を重要インフラ組織に提供するため、共同勧告を発表した。
その直後、マイクロソフトは悪意あるメール活動に関する調査結果を公表し、中国の脅威アクター集団Storm-0558が5月15日以降、米政府機関を含む顧客のメールアカウントにアクセスしていたことが判明した。
Storm-0558は西欧の政府機関を標的にすることで知られ、諜報活動、データ窃取、認証情報へのアクセスに注力している。
マイクロソフトは、脅威アクターが入手したマイクロソフトの暗号化キーを用いて認証トークンを偽造し、Exchange OnlineのOutlook Web Access(OWA)およびOutlook.com経由で顧客のメールアカウントにアクセスできたと説明した。
また、入手されたMSAキーで署名されたトークンのOWAでの使用をブロックし、ハッカーがそれを使ってさらにトークンを偽造できないようキーを置き換え、影響を受けたすべての一般消費者顧客について当該キーで発行されたトークンの使用をブロックすることで問題を緩和したと付け加えた。
こちらも読む:OpenAI、Microsoft、Google、AnthropicがAI規制のための団体を設立
ワイデン氏は書簡の中で、「政府のメールが盗まれたのは、マイクロソフトがまた別の誤りを犯したからだ」と記した。
盗まれた暗号化キーは消費者アカウント向けのものだったが、「マイクロソフトのコードにおける検証エラー」により、ハッカーは政府機関やその他の組織向けのマイクロソフトホスト型アカウントについても偽のトークンを作成でき、それによってそれらのアカウントにアクセスできたと、ワイデン氏は述べた。
同氏は、盗まれた場合に攻撃者が顧客の私的な通信にアクセスできてしまうような「単一のマスターキー(スケルトンキー)」をマイクロソフトが持つべきではなかったと主張した。ワイデン氏はまた、暗号化キーがどのように保管されていたのかについても疑問を呈した。
さらにワイデン氏は、ロシア国家支援の攻撃者が暗号化キーを盗み、マイクロソフトの認証情報を偽造して機微情報にアクセスした2020年のSolarWindsサプライチェーン事件において、マイクロソフトが自社の役割について責任を取らなかったと付け加えた。
その結果、ワイデン氏は、マイクロソフトの「過失」について同社に責任を負わせるための「政府一体(whole of government)」の取り組みを求めた。同氏は各機関に対し、マイクロソフトのセキュリティおよびプライバシー慣行を調査し、連邦法に違反していないかを確認するよう求めた。
7月26日には、中国の武漢地震監視センターが、「海外の政府背景」を持つハッカー集団によって引き起こされたサイバーインシデントの被害を受けたと報じられた。
画像クレジット:Golden Brown / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-negligence-email/
