米政府、マイクロソフトに新機能を追加する前にセキュリティの適正化を要請
中国のマイクロソフトのハッキングは、機能よりもセキュリティを常に優先しなければならない理由と、「バックドア」として使用できる一般的なキーがあってはならない理由を示している。
何が起きたか
2023年7月、マイクロソフト社の電子メール・サーバーに深刻なセキュリティ問題があることが明らかになった。報道によると、マイクロソフトは電子メールシステム全体への一般ログインキーを紛失し、米国政府がハッキングされた。おそらく中国政府とつながりのある悪意のある攻撃者が、米国務省や駐中国米国大使、その他の米国政府関係者の電子メール〜6万通を吸い上げることができた。
マイクロソフト自身は、2023年5月中旬以降、中国によって悪用されたデータ漏洩を検知していない。代わりに国務省職員が2023年6月に自ら検知し、マイクロソフトに通知することができた。さらに、米国務省が情報漏えいを調査できたのは、マイクロソフトの高価なプランを利用していたためであり、そのプランではログにアクセスすることができた。この事件後、マイクロソフトは低価格帯の製品にもこのログへのアクセス権を与えた。私たちの意見では、セキュリティ機能を有料の壁の後ろに閉じ込めてはならないからだ!
世界で最も価値のある企業であるマイクロソフトは、この情報漏洩を自社で発見することはできなかった。米国当局から通告を受けたマイクロソフトのセキュリティ専門家は、データ漏洩をさらに調査し、22の組織と503人の個人のマイクロソフト・エクスチェンジ・オンラインの電子メール・アカウントが攻撃の影響を受けていることを突き止めた。その結果、Storm-0558と呼ばれるグループの中国人攻撃者が、マイクロソフトのあらゆる電子メールアカウントにアクセスできる特別なセキュリティコードにアクセスできたことが判明した。米国の諜報機関は、この攻撃が北京で最も強力なスパイ・サービスのひとつである国家安全保障省(MSS)のために実行されたことを明らかにした。
当然のことながら、この騒動は大きなものとなり、国土安全保障省はマイクロソフトのクラウドセキュリティ対策を見直すため、サイバー安全審査委員会(CSRB)を発足させると発表した。独立委員会の主な任務は以下の通りである:
"CSRBは、2023年7月に最初に報告された最近のMicrosoft Exchange Onlineへの侵入を評価し、該当するCSPとその顧客に影響を与えるクラウドベースのIDおよび認証インフラに関連する問題について、より広範なレビューを実施する。" ... "委員会は、クラウドコンピューティングの顧客とCSP自身の両方にとってサイバーセキュリティの実践を前進させる、実行可能な勧告を策定する。"
報告書はマイクロソフトに壊滅的な結論を下す
バイデン米大統領によって命じられた独立のサイバー安全審査委員会は、その調査結果を発表した。
報告書は、「中華人民共和国系と評価されるハッキング・グループ、Storm-0558による侵入は防止可能であった。
この報告書は、中国人がマイクロソフト・エクスチェンジ・オンラインのメールボックスにアクセスできた正確な方法をマイクロソフトがまだ把握しておらず、マイクロソフトのサイバーセキュリティ慣行が非常に稚拙で、意図的に透明性を欠き、企業のセキュリティ慣行が甘かったとして、強い懸念を示している。
報告書によると、マイクロソフト社は「回避可能な過ちの連鎖」を犯しており、それはお粗末なセキュリティ文化に直接起因していた。例えば、電子メールアカウントにアクセスするために使用されたキーは、2021年にはすでに無効化されているはずであり、そもそも外務省の電子メールアカウントにアクセスする能力を持っているはずがない。
マイクロソフトの広報担当者はワシントン・ポスト紙に次のように語った。
「最近の出来事は、我々自身のネットワークにエンジニアリング・セキュリティの新しい文化を採用する必要性を示している。資金力のある敵からのサイバー攻撃から免れる組織はありませんが、私たちはエンジニアリング・チームを動員して、レガシー・インフラストラクチャを特定・緩和し、プロセスを改善し、セキュリティ・ベンチマークを実施しています」。
しかし報告書は、これだけでは不十分だとしている:マイクロソフトの "セキュリティ文化は不十分であり、オーバーホールが必要である"。
マイクロソフトのエラーの連鎖
マイクロソフト社は、セキュリティ文化が不十分であるにもかかわらず、世界で最も価値のある企業である。
報告書は、そもそもExchangeのメールボックスが脆弱であったのは、マイクロソフト側の複数のミスが原因であることを強調している。
中国のハッカーがシステムに侵入するために使用した古い署名キーは、2016年にはすでに無効化されているはずだった。
マイクロソフトは手動から自動キーローテーションに切り替えるべきだったが、そうしなかった。
このキーは消費者や企業のネットワークへのバックドアのように機能し、セキュリティ・プロトコルに違反していた。
2020年にマイクロソフトが買収した企業のあるエンジニアは、漏洩したノートパソコンで作業しており、2021年にそのマシンから企業ネットワークにアクセスした。このノートパソコンが根本的な原因かどうかは定かではないが、マイクロソフトは2024年3月にアップデートを発表し、「侵害されたエンジニアリング・アカウント」が侵害原因の「有力な仮説」であると述べた。
この侵害を見逃すのではなく、マイクロソフトは買収後、同社のネットワークの適切なセキュリティ評価を実施すべきだった。
全体として、このミスの連鎖は、マイクロソフト社にとってセキュリティが優先事項ではないことを示している。
マイクロソフト社は、2002年の社内メールですでにセキュリティの重要性を強調している創業者のビル・ゲイツ氏の言葉に耳を傾けるべきだとまで言っている:
「過去において、われわれは新機能を追加することで、ユーザーにとってより魅力的なソフトウェアとサービスを提供してきた。...だから今、機能を追加するか、セキュリティの問題を解決するかの選択に迫られたとき、我々はセキュリティを選択する必要がある"
国家安全保障へのリスク
マイクロソフト社の甘いセキュリティ文化が引き起こしたデータ漏洩は、マイクロソフト社が米国だけでなく、ドイツや他の多くのヨーロッパ諸国など、多くの政府にとって主要なサプライヤーであることを考えれば、さらに深刻になる。
リスクはマイクロソフトだけにとどまらない。グーグル、アップル、アマゾン、マイクロソフトといった大手クラウド・プロバイダーは、欧米諸国にとって敵対者にとって有利なターゲットであり、セキュリティに注力しなければならない。サイバーセーフティ検討委員会の報告書は最後にこう述べている:「業界全体が一丸となって、アイデンティティとアクセスのインフラを劇的に改善しなければならない。...世界の安全保障はそれに依存している。"
悪意のある攻撃者が政府高官や公的機関、場合によっては諜報機関の電子メールアカウントに侵入することができれば、中国やロシアのような国は非常に機密性の高い情報を手に入れることができ、我々の国家安全保障を危険にさらすことになる。
そして、敵対勢力はマイクロソフトの弱点を学習したようだ。
2021年、中国からの悪意ある攻撃者(やはり中国政府の支援を受けている)は、マイクロソフトのExchangeメールサーバーを侵害することができ、企業や政府機関の少なくとも3万の組織アカウントに影響を与えた。
また2021年には、セキュリティ専門企業のWizが、攻撃者が数千人のAzure顧客のデータにアクセス、変更、削除することを可能にするMicrosoft Azureインフラの脆弱性を公表した。当時、Wizは文字通りMicrosoft Azureの顧客のあらゆるデータベースにアクセスできたため、これは「想像しうる最悪のクラウドの脆弱性」と評された(2023年の中国のハッキングはこれを上回ったが)。
しかし、敵は中国だけではない:
2024年1月、ロシアの対外情報庁(SVR)がスポンサーとなったロシアの攻撃者が、マイクロソフトの企業向け電子メール・サービスを攻撃した。マイクロソフトはこの攻撃者をミッドナイト・ブリザードと特定し、上級幹部やセキュリティ担当社員のメールボックスに侵入した。
2020年には、ロシアのハッカー(やはりロシア政府から資金提供を受けていた)がソーラーウインド社のネットワーク・ソフトウェアを攻撃し、少なくとも9つの米国連邦機関と100社の電子メールを吸い上げた。この攻撃を受けて、マイクロソフトは「強力かつグローバルなサイバーセキュリティへの対応の必要性」を訴えた。
残念なことに、CSRB報告書が現在描いている絵は、マイクロソフトがより良いセキュリティ戦略を求める自らの呼びかけに従わなかったことを示している。
CSRB報告書からの3つの教訓
過去5年間におけるマイクロソフト社の電子メールサービスの脆弱性は劇的なものであったため、根本的な問題、すなわちセキュリティ文化の甘さを修正することに今注目することが重要である。私たちTutaは、プライバシーとセキュリティに明確に焦点を当てた、エンドツーエンドの暗号化された電子メールとカレンダーサービスを構築しています。私たちの経験から言えることは、ベスト・セキュリティ・プラクティスには以下が含まれていなければならないということです:
1.セキュリティは常に機能よりも優先されなければならない。
なぜなら、セキュリティだけでは製品は売れないからである。しかし、脆弱性をすぐに修正し、Tuta Mailのように可能な限りデータを暗号化することが最も重要である。ドイツ政府が暗号化の権利を法律に明記しようとしているのも素晴らしいことだ。ドイツでは、例えばシュレースヴィヒ=ホルシュタイン州では、すでにセキュリティの重要性がより高く位置づけられている。ドイツ最北の連邦州は、ウィンドウズからリナックスへの移行を進めており、セキュリティとデジタル主権という点では素晴らしい動きだ。
私たちTutaは、この報告書の結論に全面的に同意する:セキュリティは機能よりも優先されなければならない。
2.バックドア」として使用できる一般的な鍵は存在してはならない。
最新のマイクロソフト・エクスチェンジのハッキングは、中国の攻撃者がエクスチェンジのメールボックスへのログインを可能にする一般キーを盗んだからこそ可能だった。これは中国にとって非常に有利なバックドアであり、そもそも存在してはならないものだった。Tutaでは、プライベートの復号化キーにアクセスできるのはユーザーのみであり、サービスプロバイダーである私たちには決してアクセスできないという厳格なセキュリティ慣行に従っています。ユーザーデータを復号化する一般的な鍵は存在せず、セキュリティ上の理由から存在してはならないのです。バックドアとして悪用される可能性のある一般的な鍵がないため、2023年にマイクロソフトで起こったようなデータ漏洩は、Tuta Mailでは起こりえない。
創業者のMatthias Pfauは、なぜこれが重要なのか、なぜ秘密鍵を中央サーバーに保存してはならないのかを説明しています。
3.セキュリティ機能は無料で利用可能でなければならない。
マイクロソフト・エクスチェンジのハッキングが米国務省によって発見されたのは、ログ機能にアクセスできたからに他ならない。Tutaでは、無料プランであっても、すべてのユーザーがすべてのセキュリティ機能を常に利用できます。これには、全く新しいポスト量子暗号化と、ログイン認証情報とセッション処理を保護するための2要素認証が含まれます。
マイクロソフトが低価格層にもログ機能を利用できるようにしたのは良いことだが、最初からそうすべきだった。
結論として、マイクロソフトの創業者ビル・ゲイツが2002年に言ったことに尽きる:機能よりもセキュリティを優先することが重要である-マイクロソフトだけでなく、どのクラウドサービス・プロバイダーにとっても。
中国による今回のハッキングが、マイクロソフトに真のセキュリティ文化を確立させるかどうかは、今後に分かるだろう。
それまでは、Tuta Mailで暗号化された安全なメールボックスを気軽に登録しよう。
