米政府、中国支援の電子メール侵害におけるマイクロソフトの役割を調査へ

中国ハッカー容疑者による最近のデータ侵害を受けて、米国政府のデータセキュリティが再び厳しい監視の対象となっている。米当局者の電子メールアカウントが侵害されたサイバー攻撃を受けて、機密情報の保護におけるマイクロソフトの役割が検討されることになる。

米国のサイバーセキュリティ諮問委員会は、最近の政府電子メール システム侵害における Microsoft の役割を含む、クラウド コンピューティングの潜在的なリスクを調査すると発表しました。サイバー安全審査委員会 (CSRB) は、クラウド インフラストラクチャに関連するリスクを調査します。

この捜査は、中国のハッカー容疑者がMicrosoft Azureのクラウド電子メールプラットフォームの脆弱性を悪用し、商務省と国務省からの機密通信にアクセスしたことを受けて行われた。テクノロジー大手はCSRBの調査で調査される主要なクラウドプロバイダーの1つだ。

このハッキングは、中国政府関係者による広範なスパイ活動の一環と考えられており、高官らの電子メールアカウントが侵害された。

マイクロソフトはこの事件をめぐって厳しい監視にさらされており、ロン・ワイデン上院議員は先月、連邦当局に対し同社に対して措置を講じるよう呼び掛けた。ワイデン上院議員は書簡の中で次のように述べた。

政府の電子メールが盗まれたのは、Microsoft が別のエラーを犯したためです。盗まれた暗号化キーは消費者アカウント用のものでしたが、Microsoft コードの検証エラーにより、ハッカーは Microsoft がホストする政府機関やその他の組織のアカウント用の偽のトークンも作成し、それらのアカウントにアクセスすることができました。

同上院議員は、ロシアによるものとされる2020年のSolarWindsキャンペーンのような過去の事件に対するマイクロソフトの責任を怠ったとして、ハッキングへのマイクロソフトの対応を批判した。

この調査は、政府や企業のネットワークで広く普及しているサードパーティのクラウド サービスによってもたらされるセキュリティ リスクに対する懸念の高まりを浮き彫りにしています。レビューの結果は、クラウドでホストされている機密データや重要なシステムをより適切に保護するための取り組みに役立つ可能性があります。

下院監視委員会は先週、マイクロソフトの電子メールシステム侵害における中国の関与疑惑について、別の調査を開始すると発表した。CSRB は、クラウドのセキュリティ リスクの特定と軽減に重点を置く予定です。

出典:ブルームバーグ