【惨敗土挫】「ずさんなセキュリティ」「無責任」──不正アクセス巡り、米Microsoftへの批判噴出

1 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 16:56:20.12 ID:???.net

Microsoftのクラウドサービスを利用していた米国務省や商務省の電子メールアカウントが、
不正アクセスの被害に遭っていたことが分かった。
ハッカー集団はクラウドサービスにアクセスするための暗号鍵を入手し、Microsoftのシステムの脆弱性を悪用していたとされ、
Microsoftに対して「セキュリティ慣行がずさん」「無責任」などと非難する声が上がっている。
https://www.itmedia.co.jp/news/articles/2308/15/news065.html

2 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 16:57:13.82 ID:???.net

米政府機関など約25の組織の電子メールに対する不正アクセスについて、Microsoftが明らかにしたのは7月11日だった。
電子メールサービス「Exchange Online」のデータに対する不審なアクセスについて6月16日に顧客から連絡があり、調べた結果、
中国のスパイ活動を目的とする組織「Storm-0558」が5月15日から不正アクセスを続けていたことが分かったと発表した。

3 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 16:57:54.94 ID:???.net

Microsoftによると、Storm-0558は使われていないマネージドサービスアカウント（MSA）コンシューマー署名鍵を入手し、
トークン検証の問題を突いて認証トークンを偽造。正規のAzure ADユーザーになりすまし、
Outlook.comとExchange OnlineのOutlook Web Access（OWA）を使って標的とする組織の電子メールアカウントに侵入していた。

4 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 16:58:14.77 ID:???.net

報道によれば、米国務省や商務省、在中国米大使館などの電子メールが不正アクセスの被害に遭い、
数十万通のメールが流出した可能性がある。

5 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 16:58:35.66 ID:???.net

Microsoftへの不満噴出　「はなはだ無責任」

6 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 16:58:48.20 ID:???.net

この問題をきっかけに、Microsoftのクラウドサービスのセキュリティ対策や脆弱性対応に対する批判が噴出した。

7 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 16:59:19.03 ID:???.net

「Microsoftのずさんなサイバーセキュリティ慣行のために、米政府に対する中国のスパイ活動が成功した」
と主張するのは、米上院議員のロン・ワイデン氏。
司法省などに宛てた書簡で、Microsoftの責任を問うために行動を起こすよう要請した。

8 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 16:59:47.64 ID:???.net

米上院議員のロン・ワイデン氏の主張
https://image.itmedia.co.jp/l/im/news/articles/2308/15/l_tm1636144_08144_2_w490.jpg

9 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 17:00:35.25 ID:???.net

　「外国政府が暗号鍵を盗み、Microsoftの認証情報を偽造して米政府の電子メールをハッキングしたスパイ活動は今回が初めてではない」。

10 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 17:01:12.42 ID:???.net

ワイデン議員はそう続け、ロシアが関与したとされる20年のSolar Windsハッキング事件を例に挙げている。
「Microsoftは17年以来、同社のソフトウェアを使っている顧客のサーバからひそかに暗号鍵が抜き取られる可能性があることを知っていながら、顧客への注意喚起を怠った」と述べ、
この事件についてもMicrosoftは責任を取らなかったと批判している。

11 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 17:01:34.78 ID:???.net

　米国のサイバ−セキュリティ企業Tenableのアミット・ヨーランCEOも
「露骨な怠慢とは言わないまでも、はなはだ無責任」とMicrosoftに矛先を向けた。

12 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 17:01:50.15 ID:???.net

ヨーラン氏は米国土安全保障省の国家サイバーセキュリティ局長を務めた経歴があり、
「Microsoftの場合、脆弱性の重大性を否定する文化がある」と語っている。

13 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 17:02:09.21 ID:???.net

その発言の背景にあるのは、TenableがAzureの重大な脆弱性を発見してMicrosoftに連絡した際の対応だった。

14 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 17:02:24.41 ID:???.net

この脆弱性については3月30日にMicrosoftに通知したにもかかわらず「4カ月たっても完全な修正が行われていない」とヨーラン氏は訴える。
この脆弱性を悪用すれば、銀行の機密情報への不正アクセスも可能だという。

15 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 17:02:43.37 ID:???.net

ヨーラン氏は「Microsofは侵害についても、無責任なセキュリティ慣行についても、脆弱性についても透明性が欠如している。

16 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 17:02:50.98 ID:???.net

リスクは意図的に隠され、顧客が危険にさらされている」とコメント。

17 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 17:03:49.37 ID:???.net

「Microsoftは『ただわれわれを信頼してほしい』と言うばかりで、その文化は透明性がほとんどなく、有害で不明瞭だ。
そのパターンや現在の行動を見て、Microsoftが正しいことをしていると、CISOや企業経営者がどうして信じられるだろうか。
Microsoftがやってきたことは、私たち全員を危険にさらしている。私たちが思っているよりずっと悪い」（ヨーラン氏）
https://www.linkedin.com/pulse/microsoftthe-truth-even-worse-than-you-think-amit-yoran/

18 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 17:04:28.60 ID:???.net

メディアがこの問題を報じた後の8月4日、MicrosoftはTenableに指摘された脆弱性を修正したことを明らかにした。
https://msrc.microsoft.com/blog/2023/08/microsoft-mitigates-power-platform-custom-code-information-disclosure-vulnerability/

19 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 17:04:55.24 ID:???.net

「われわれの調査の結果、確認された異常アクセスはこのインシデントを報告したセキュリティ研究者によるもののみで、それ以外の行為者はみとめられなかった」と説明している。

20 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 17:05:40.44 ID:lTTmLjvO.net

Microsoftが8月4日に報告した修正内容
https://image.itmedia.co.jp/l/im/news/articles/2308/15/l_tm1636144_08144_3_w490.jpg

21 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 17:06:00.92 ID:???.net

絶対に許さない

22 ：名無しさん＠お腹いっぱい。：2024/02/25(日) 17:18:52.52 ID:lTTmLjvO.net

ほんとにずさんで無責任な会社だな
こんなにブッ壊れたOSを世にばら撒いた責任もとってもらわないとな

23 ：名無しさん＠お腹いっぱい。：2024/02/27(火) 05:39:08.71 ID:BQj+jvLw.net

Windows Xp, me, 8, 2000, 10, 11 と次々新ヴァージョンを出しておいて、最近、クラウドが儲かりだすと、とんとwindows
更新がない．ヴァージョンアップは技術的改良と主張していたが、結局更新料を利益源としいたのだろう．ふざけるな、マイクロソフト！

24 ：名無しさん＠お腹いっぱい。：2024/02/28(水) 09:52:17.61 ID:???.net

バグを放置したまま機能追加って控えめに言って頭イカれてるよな
頭イカポンチが考えることはほんとよくわからないな

25 ：名無しさん＠お腹いっぱい。：2024/03/04(月) 19:51:24.18 ID:???.net

>>23
7で完成されてたな
メモリのデフラグに圧縮がついたけどそもそも32Gをデフォルトにしろという