Microsoftのクラウドから米国政府の機密情報が漏洩　「ずさんなセキュリティ」と批判噴出

1 : 2023/08/15(火) 11:08:00.91 ID:Mw3UYdec0: 　Microsoftのクラウドサービスを利用していた米国務省や商務省の電子メールアカウントが、
不正アクセスの被害に遭っていたことが分かった。
ハッカー集団はクラウドサービスにアクセスするための暗号鍵を入手し、
Microsoftのシステムの脆弱性を悪用していたとされ、
Microsoftに対して「セキュリティ慣行がずさん」「無責任」などと非難する声が上がっている。

　米政府機関など約25の組織の電子メールに対する不正アクセスについて、
Microsoftが明らかにしたのは7月11日だった。
電子メールサービス「Exchange Online」のデータに対する不審なアクセスについて
6月16日に顧客から連絡があり、調べた結果、
中国のスパイ活動を目的とする組織「Storm-0558」が5月15日から不正アクセスを続けていたことが分かったと発表した。
　Microsoftによると、Storm-0558は使われていないマネージドサービスアカウント（MSA）コンシューマー署名鍵を入手し、トークン検証の問題を突いて認証トークンを偽造。
正規のAzure ADユーザーになりすまし、Outlook.comとExchange OnlineのOutlook Web Access（OWA）を使って標的とする組織の電子メールアカウントに侵入していた。

　報道によれば、米国務省や商務省、在中国米大使館などの電子メールが不正アクセスの被害に遭い、数十万通のメールが流出した可能性がある。

Microsoftへの不満噴出　「はなはだ無責任」
　この問題をきっかけに、Microsoftのクラウドサービスのセキュリティ対策や脆弱性対応に対する批判が噴出した。

　「Microsoftのずさんなサイバーセキュリティ慣行のために、米政府に対する中国のスパイ活動が成功した」と主張するのは、米上院議員のロン・ワイデン氏。
司法省などに宛てた書簡で、Microsoftの責任を問うために行動を起こすよう要請した。

「ずさんなセキュリティ」「無責任」──不正アクセス巡り、米Microsoftへの批判噴出
https://www.itmedia.co.jp/news/articles/2308/15/news065.html
2 : 2023/08/15(火) 11:09:22.40 ID:Mw3UYdec0: >>1

　「外国政府が暗号鍵を盗み、Microsoftの認証情報を偽造して米政府の電子メールをハッキングしたスパイ活動は今回が初めてではない」。
ワイデン議員はそう続け、ロシアが関与したとされる20年のSolar Windsハッキング事件を例に挙げている。
「Microsoftは17年以来、同社のソフトウェアを使っている顧客のサーバからひそかに暗号鍵が抜き取られる可能性があることを知っていながら、
顧客への注意喚起を怠った」と述べ、この事件についてもMicrosoftは責任を取らなかったと批判している。

　米国のサイバ－セキュリティ企業Tenableのアミット・ヨーランCEOも「露骨な怠慢とは言わないまでも、はなはだ無責任」とMicrosoftに矛先を向けた。
ヨーラン氏は米国土安全保障省の国家サイバーセキュリティ局長を務めた経歴があり、
「Microsoftの場合、脆弱性の重大性を否定する文化がある」と語っている。

　その発言の背景にあるのは、TenableがAzureの重大な脆弱性を発見してMicrosoftに連絡した際の対応だった。
この脆弱性については3月30日にMicrosoftに通知したにもかかわらず
「4カ月たっても完全な修正が行われていない」とヨーラン氏は訴える。
この脆弱性を悪用すれば、銀行の機密情報への不正アクセスも可能だという。

　ヨーラン氏は「Microsofは侵害についても、無責任なセキュリティ慣行についても、脆弱性についても透明性が欠如している。
リスクは意図的に隠され、顧客が危険にさらされている」とコメント。
3 : 2023/08/15(火) 11:10:20.76 ID:ArKmQ0kj0: 日本のITガーセキュリティガーのみんな、元気かナ？
4 : 2023/08/15(火) 11:10:22.18 ID:MybQubCq0: これを受けての国産クラウド？
5 : 2023/08/15(火) 11:11:05.73 ID:VyZ9IyCo0: 日本の漏洩疑惑を報じた一方で自分達のところもボロボロだったというww
アメカスさんさぁ？
14 : 2023/08/15(火) 11:56:13.78 ID:6NGNMuEn0: >>5
それだけ中国のハッキング技術が、世界で群を抜いて凄いってことだな
27 : 2023/08/15(火) 12:33:11.41 ID:52rbea220: >>14
チャイナマネーとハニトラにやられたアメリカ人が嬉々としてハックしてそうじゃね？
6 : 2023/08/15(火) 11:13:07.62 ID:lNzSPGi/0: 機密情報をクラウドなんかでやりとりすればそりゃそうなるわなとしか
7 : 2023/08/15(火) 11:14:38.40 ID:ZWLuBy/G0: 国家プロジェクトで作らんのけ？
8 : 2023/08/15(火) 11:25:22.76 ID:GP8TbtEq0: 最近配ってるポイントなんだかあやしいけど大丈夫なの？
9 : 2023/08/15(火) 11:29:19.15 ID:fVyIPBpk0: だから書類をクラウド経由で納品するのやだったん
10 : 2023/08/15(火) 11:31:50.65 ID:zv8sG9y00: Appleチャンスやぞ(ヽ´ω`)
11 : 2023/08/15(火) 11:35:50.50 ID:xkQ4y95L0: マイクロソフトは中国べったりになってからとにかく気色悪い
12 : 2023/08/15(火) 11:42:40.79 ID:aOU0CRGg0: いや、機密情報をクラウドにアップするほうが頭おかしい
17 : 2023/08/15(火) 12:04:51.56 ID:FcwFFwM50: >>12
ほんとそれな
13 : 2023/08/15(火) 11:53:01.45 ID:1d0TEqnX0: まずお前のセキュリティ意識だろ
クラウドに機密をあげんなよ
15 : 2023/08/15(火) 11:58:05.08 ID:C3L2us5e0: 日本のITガーはいわゆる出羽守だからなｗ
16 : 2023/08/15(火) 12:02:24.19 ID:cK0txlwu0: 日本「マイクロソフトもやってるからあ」
21 : 2023/08/15(火) 12:17:19.51 ID:QUCrvH+20: >>16
国内でお漏らしインシデント発生したとき散々ジャップ連呼しておいてこのザマだから笑われてんだろうが
まあジャップ連呼してたのは主にお前ら低能パヨクだけどなｗ
18 : 2023/08/15(火) 12:08:35.52 ID:cWmBWweC0: うちの会社大丈夫かな🥺
19 : 2023/08/15(火) 12:09:25.66 ID:nX2SSQ830: マイクロソフトがずさんならどの企業もずさんな気がするわ
25 : 2023/08/15(火) 12:23:42.86 ID:MCg7KdVa0: >>19
もはや無防備レベルだよな
20 : 2023/08/15(火) 12:13:42.81 ID:e6ttdV1d0: 米国がちゃんと中共鯖の機密情報を盗めているならまあOK
盗めてないなら超弩級のピンチ
22 : 2023/08/15(火) 12:20:23.17 ID:fVyIPBpk0: 出版マス系はいっつも急ぎなんでクラウドでっていうし既に漏れ漏れにゃん
23 : 2023/08/15(火) 12:20:37.47 ID:Aq5VkxCd0: >Storm-0558

はずか
24 : 2023/08/15(火) 12:23:19.11 ID:wV5wBA8J0: クラウドだとかAIだとか、あまりにも未知な期待をして株価上がっているが、そろそろ目を覚ませや。
26 : 2023/08/15(火) 12:28:11.87 ID:un/u2BmJ0: 暗号鍵がなぜ漏れたのか
28 : 2023/08/15(火) 12:35:41.90 ID:S36hIqDP0: ずさんというかわざとっていうか
要はチャイナと一緒、だだもれ
29 : 2023/08/15(火) 12:39:19.05 ID:+MYTybB90: ズサンというかクラウドだろ
大事なものは自分で管理しろ
32 : 2023/08/15(火) 12:43:47.96 ID:Dh4q7Du90: 機密情報をOneDriveに保存してるの？
33 : 2023/08/15(火) 12:45:06.92 ID:JARHAeUC0: クラウドが安全とか信じちゃってたのか
34 : 2023/08/15(火) 13:13:07.09 ID:p4hB8xYz0: そりゃそうなるだろw