米国政府はマイクロソフト問題を抱えている

マイクロソフトが1月に外国政府のハッカーが再びシステムに侵入したことを明らかにした際、このニュースは世界最大のテクノロジー企業のセキュリティ態勢について再び非難の声が上がった。

政策立案者、セキュリティ専門家、そして競合他社の間で不安が広がっていたにもかかわらず、マイクロソフトは今回の恥ずべき失敗に対して何ら責任を問われなかった。米国政府はマイクロソフト製品の購入と使用を続け、政府高官は同社を公に非難することを拒否した。バイデン政権が有力なテクノロジー企業にアメリカのサイバー防衛における責任をより重くすると誓っているにもかかわらず、マイクロソフトが事実上、政府の説明責任から隔離されていることを改めて浮き彫りにした。

政府と業界の専門家で構成されるサイバーセーフティレビューボード（CSRB）が、マイクロソフトが近年最悪のハッキング事件の一つを防げなかったことを厳しく批判する新たな報告書を発表したにもかかわらず、この状況は変わりそうにありません。報告書は、マイクロソフトの「セキュリティ文化は不十分であり、抜本的な改革が必要だ」と述べています。

マイクロソフトのほぼ無敵の地位は、いくつかの要因が複雑に絡み合った結果である。同社は米国政府にとって、圧倒的に重要な技術サプライヤーであり、国防総省から国務省、FBIに至るまで、あらゆる場所でコンピューター、文書作成、電子メールのやり取りを支えている。政府のサイバー防衛イニシアチブにおいても、マイクロソフトは不可欠なパートナーであり、ハッカーの活動に関する比類なき洞察力と、その活動を阻止する広範な能力を備えている。そして、同社の幹部やロビイストたちは、同社をデジタル社会のより安全な世界を築くための主導的な存在として、執拗に宣伝してきた。

サイバーセキュリティの専門家、議員、元政府関係者、マイクロソフトの競合企業の従業員らによると、こうしたうらやましいほどの優位性は、ロシアや中国政府とつながりのあるハッカーが同社のコンピューターシステムに繰り返し侵入しているにもかかわらず、政府高官がマイクロソフトを批判するのを拒否している理由を説明するという。

これらの人々（一部は匿名を条件に、米国政府と業界の紛れもない巨大企業について率直に語った）は、政府とマイクロソフトの関係が、機密データを危険にさらし、重要なサービスを脅かす大規模なサイバー攻撃を防御するワシントンの能力を損なっていると主張している。彼らの言葉を聞くと、マイクロソフトはもはや監督を受けるべき時期が来ていると言えるだろう。

違反と論争の歴史

マイクロソフトは長年にわたってセキュリティ侵害の記録を残しているが、ここ数年は同社にとって特にひどいものとなっている。

2021年、中国政府のハッカーがマイクロソフトのメールサーバーの脆弱性を発見して同社顧客をハッキングし、後にその脆弱性を公開して攻撃の激化を引き起こした。2023年には、中国は複数の米国代表団の北京訪問に先立ち、22の連邦機関のメールアカウントに侵入し、国務省高官とジーナ・ライモンド商務長官をスパイした。3か月前、マイクロソフトは、ロシア政府のハッカーが簡単なトリックを使用してマイクロソフトの一部上級幹部、サイバー専門家、弁護士のメールにアクセスしたことを明らかにした。先月、同社は、この攻撃により、従業員と顧客間で共有されているソースコードと「秘密」の一部も侵害されたと述べた。木曜日、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、これらの顧客に連邦機関が含まれていることを確認し、メールが漏洩した機関に、ロシアのハッカーがこれらのメールに含まれるログイン認証情報を使用しようとした兆候を探すよう警告する緊急指令を出した。

これらのインシデントは、セキュリティ専門家がマイクロソフト製品の欠陥を迅速かつ適切に修正していないとして、同社を批判する声が高まる中で発生しました。米国政府にとって圧倒的に最大の技術プロバイダーであるマイクロソフトの脆弱性は、新たに発見されたソフトウェアの欠陥と最も広く使用されているソフトウェアの欠陥の両方で、大部分を占めています。多くの専門家は、マイクロソフトが進化する課題に対応するために必要なサイバーセキュリティの改善を拒否していると指摘しています。

マイクロソフトは「セキュリティ投資のレベルと考え方を脅威に合わせて適応させていない」と、ある著名なサイバー政策専門家は述べている。「マイクロソフトほどのリソースと社内エンジニアリング能力を持つ企業による、大きな失策だ」

国土安全保障省のCSRB（セキュリティリスク評価委員会）は、2023年の中国による侵入に関する新たな報告書でこの見解を支持し、マイクロソフトは「企業のセキュリティ投資と厳格なリスク管理の両方を軽視する企業文化」を示していたと述べた。報告書はまた、マイクロソフトが最新の中国による侵入の原因について不正確な情報を公表したことを批判した。

複数の専門家によると、最近の侵害はマイクロソフトが基本的なセキュリティ防御を実施できていないことを示している。

セキュリティ企業クラウドストライクのインテリジェンス担当シニアバイスプレジデント、アダム・マイヤーズ氏は、ロシアがテスト環境から本番環境へ容易にアクセスできることを指摘し、「こんなことは決してあってはならない」と述べた。マイクロソフトの競合企業に勤務する別のサイバー専門家は、中国が一度の侵入で複数の機関の通信を盗聴できる能力があると指摘し、CSRBの報告書に同調した。同報告書は、マイクロソフトの認証システムが単一のサインインキーで広範なアクセスを可能にしていると批判した。

「他のクラウド サービス プロバイダーでは、このような種類の侵害は報告されていません」とマイヤーズ氏は言います。

CSRB の報告書によると、Microsoft は「現在の脅威の状況に対処するために、レガシー インフラストラクチャの再設計を十分に優先していない」とのことです。

マイクロソフトは書面による質問に対し、最近の事件に対処するために積極的にセキュリティを強化しているとWIREDに語った。

「当社は、進化する脅威の状況に適応し、業界や政府と連携して、増大し高度化する世界的な脅威から身を守ることに尽力しています」と、マイクロソフトの連邦セキュリティ事業の最高技術責任者であるスティーブ・フェール氏は語る。

フェール氏によると、マイクロソフトは、11月に開始した「Secure Future Initiative」の一環として、従業員アカウントの不正使用を自動的に検出してブロックする機能を強化し、ネットワークトラフィック内のより多くの種類の機密情報をスキャンし始め、個々の認証キーによって付与されるアクセスを減らし、企業アカウントを作成しようとする従業員に対する新しい承認要件を作成したという。

マイクロソフトはまた、製品を改善するために「何千人ものエンジニア」を再配置し、少なくとも週2回は上級役員を集めて状況報告会を開き始めたとフェール氏は語る。

この新たな取り組みは、マイクロソフトの「CSRB報告書が優先事項として指摘した多くの点に対応するためのロードマップとコミットメント」を象徴するものだとフェール氏は述べている。しかし、マイクロソフトはCSRB報告書が主張するように、自社のセキュリティ文化が崩壊しているとは認めていない。「私たちはこの見解に強く反対します」とフェール氏は述べ、「しかし、私たちが完璧ではなく、取り組むべき点があることには同意します」と続けた。

セキュリティ収入への「依存」

マイクロソフトは、脅威監視、ウイルス対策、ユーザーアクセス管理といったセキュリティ対策の強化に対して顧客に追加料金を請求しているため、サイバーセキュリティコミュニティから特に強い反感を買っています。2023年1月、同社はセキュリティ部門の年間売上高が200億ドルを突破したと発表しました。

「マイクロソフトは、サイバーセキュリティを収益を生み出すためのものとして捉えるようになった」と、セキュリティ企業SentinelOneのリサーチ担当副社長、フアン・アンドレス・ゲレロ＝サーデ氏は述べている。同氏の同僚であるアレックス・スタモス氏は最近、マイクロソフトのこの収益への「依存」が「製品設計の意思決定を深刻に歪めている」と記している。

こうした緊張は、議会とバイデン新政権がロシアの広範囲に及ぶSolarWindsハッキングキャンペーンの解明に奔走した2021年初頭に爆発的に表面化した。

モスクワの工作員は、SolarWindsソフトウェアを通じて政府ネットワークに侵入した後、Microsoftのクラウドプラットフォームを欺き、広範なアクセスを許可させました。ほとんどの政府機関はMicrosoftのプレミアムサービスに加入していなかったため、これらの侵入を検知するために必要なネットワークアクティビティログを取得できませんでした。議員たちは、Microsoftがこのような基本的な機能に対して政府に追加料金を請求していることに憤慨し、バイデン政権当局者はその後2年半にわたり、Microsoftに対し、ログデータを全顧客に無料で提供するよう非公式に働きかけました。Microsoftは昨年7月、ついにこれに同意しました。これは、ログデータの代金を支払っている政府機関によって発見された、またしても大規模なハッキング事件を発表してから8日後のことでした。

マイクロソフトは、他のプレミアムセキュリティ機能を全顧客に無料で提供する予定があるかどうかについては明らかにしていない。「お客様にメリットをもたらすため、製品とサービスに組み込まれたセキュリティを継続的に向上させていきます」とフェール氏は述べている。

サイバーセキュリティから利益を得るというマイクロソフトの戦略はセキュリティ第一の考え方と相容れないという専門家の主張について尋ねられると、フェール氏は「我々はその見解に同意しない」と述べた。

どこにでもあるシステム

マイクロソフトの優位性は、同社が単一障害点となり、アメリカの技術依存が集中し、ハッカーが一社の製品を狙って簡単に重要なサービスを妨害できるのではないかという懸念を引き起こしている。

政府のマイクロソフトへの圧倒的な依存度を如実に表すサービスは、電子メール以外にほとんどない。専門家の中には、より多角的なアプローチの方が安全だと指摘する人もいる。マイクロソフトの競合企業に勤務する元米国サイバーセキュリティ当局者は、マイクロソフトの電子メールプラットフォームが麻痺する攻撃を受ければ、政府の業務遂行能力は著しく低下すると予測している。

マイクロソフトの「単一文化」に関する警告は20年前に遡るが、この考え方は現在、政策立案者から新たな注目を集めている。

「米国政府のマイクロソフトへの依存は、米国の国家安全保障にとって深刻な脅威となっている」と、ロン・ワイデン上院議員は述べている。「マイクロソフトの過失により、外国のハッカーによる米国政府システムへの深刻な侵入が複数発生しているにもかかわらず、政府は事実上、同社製品に縛られているのだ。」

先週月曜日、ワイデン知事は、競合サービスとの統合性が低いと批判されているマイクロソフト・オフィスなどのコラボレーション技術の購入を連邦政府が停止するよう4年間の期限を定める法案草案を発表した。

専門家によると、政府の単一ベンダーへの依存を減らすことは、政府にとっての利益にとどまらない。攻撃リスクをより多くの企業に分散させることで、膨大なシステムポートフォリオを保護するというマイクロソフトの負担が軽減される。マイクロソフトが巨大な標的にされていることは、サイバー犯罪者や政府機関のハッカーにとって格好の標的となっており、これが膨大な数の侵害発生の理由の一つとなっている。

政府のマイクロソフトへの依存は、同社製品への馴染みを強め、連邦政府ネットワークにおける地位を確固たるものにしている。一部の機関はマイクロソフトの代替手段を検討しているものの、大半は既存の製品を使い続けている。これは主に、代替プラットフォームへの切り替えよりも容易だからだと、元サイバー担当官は述べている。

マイクロソフトは、顧客が競合他社製品に乗り換えたり、他社製品を導入したりすることを困難にしているとは考えていない。「競合他社は『互換性』に関する主観的な不満を煽ることが多い」とフェール氏は言うが、「こうした不満は、サードパーティ製品を導入しようとしている顧客からよりも、一部のサードパーティ製品のベンダーから多く聞かれる」という。

いずれにせよ、専門家らは、結論は明らかだと述べている。つまり、政府はマイクロソフトに依存しており、同社の慣行に抵抗するために必要な影響力を同社から奪っているのだ。

審判を操る

マイクロソフトは、市場支配力だけで政府の監視を弱めようとしているわけではない。1990年代に政府との独占禁止法違反をめぐる争いを繰り広げて以来、同社はサイバー空間の保護を求める真摯な訴えと、政府の取り組みへの積極的な参加を組み合わせた、洗練された公共政策戦略を策定してきた。

「こうした問題に関しては、マイクロソフトはテクノロジー業界において群を抜いて巧妙な対応をしています」と、ホワイトハウスの元サイバー担当高官で、現在はスタンフォード大学の地政学、テクノロジー、ガバナンスプログラムを率い、マイクロソフトの競合企業数社のコンサルタントも務めるアンドリュー・グロット氏は語る。「彼らは25年前にこの教訓を学び、それ以来ずっとそれを実践し続けています。」

マイクロソフトの脅威インテリジェンスチームは、事実上どの企業やほとんどの政府よりも悪意のあるサイバー活動について深い知識を有しており、サイバー脅威に関する調査結果を定期的に発表し、法執行機関と協力してハッカーのインフラを解体する活動を行っています。また、より安全なインターネットの実現を訴え、非政府組織をハッカーから守るサイバーピース研究所などの団体への資金援助も行っています。さらに、サイバー問題に取り組みたいものの、どこから手を付ければよいかわからない政策立案者にとって、頼りになるパートナーとしての立場を確立しており、時には議員に法案の草案を提供しています。

専門家によれば、マイクロソフトは市場支配力と政治的手腕を活かして、同社幹部が公に同社を批判することはほとんどないようにしているという。

「政府はマイクロソフトに全面的に協力しているため、同社について悪く言うことに抵抗を感じている」と、シンクタンク、民主主義防衛財団のサイバー・テクノロジー・イノベーション・センターのシニアディレクター、マーク・モンゴメリー氏は語る。

バイデン政権は、政府の強力な契約権限を駆使して企業にセキュリティ強化を迫ると豪語している。しかし、マイクロソフトに対してはそうした影響力は存在しないと専門家は指摘する。「政府がマイクロソフトとの契約を全面的に解除する現実的な可能性はゼロだ」と、サイバーコンサルタントで元国土安全保障省政策担当官のポール・ローゼンツワイグ氏はメールで述べている。

マイクロソフトはこの主張に異議を唱える。「政府がマイクロソフトに依存しすぎているという考えは現実と矛盾している」とフェール氏は言う。

政府の影響力の欠如により、連邦政府職員は、たとえ匿名で記者団に話すことを主張したとしても、マイクロソフトについて議論する際にCSRB報告書に見られるような率直な言葉遣いを決して行わない。これは、政府によるマイクロソフトへの敬意の顕著な表れと言える。

中国ハッカーが政府の電子メールシステムに侵入し、マイクロソフトのプレミアムセキュリティ機能に料金を支払っていない政府機関の目を逃れた後、CISAの上級職員は、マイクロソフトのビジネスモデルは「我々が求めているようなセキュリティ成果を生み出していない」と認めたが、マイクロソフトを直接非難することは避け、同社との建設的な対話についての論点にとどまった。

実際、マイクロソフトは長年にわたり、CISAが企業に「設計段階からセキュリティを確保」するよう強く求める声に反抗してきたにもかかわらず、CISAはマイクロソフトの失敗を批判することを頑なに拒否してきました。マイクロソフトが昨年7月にようやく圧力に屈し、ログを無料化した際、CISAディレクターのジェン・イースタリー氏は「マイクロソフトの決定に非常に満足している」と述べました。

元サイバー担当官は、政府のおとなしさに驚いている。「自らのメールが盗まれたとしても、その原因となったベンダーに反撃しようとしないようだ。」

ホワイトハウスの国家安全保障会議（NSC）は、この件についてコメントを控えた。声明の中で、CISAのサイバーセキュリティ担当エグゼクティブ・アシスタントディレクターであるエリック・ゴールドスタイン氏は、「CISAはマイクロソフトと強固なパートナーシップを築いており、今後も多くの分野で協力していく」と述べつつ、「消費者が日々利用するテクノロジーの安全性と完全性を信頼できるよう、設計段階から安全を配慮した製品の開発が喫緊の課題であることを、すべてのテクノロジー企業に強く訴えていく」と続けた。

マイクロソフトのフェール氏は、同社は「設計段階からのセキュリティとデフォルトのセキュリティの実現に注力している」と語る。

変化を強制する

マイクロソフトのクラウド侵害に関するCSRBの報告書は、同社のセキュリティ文化の抜本的な変革を求めています。多くの専門家は、政府が毅然とした態度を示し、こうした変革を強制すべき時が来ていると指摘しています。

「一般的に、大企業や有力企業は、そうするよう動機づけられない限り、その行動を変えることはない」とスタンフォード大学のグロット氏は言う。

CSRBの報告書は、マイクロソフトのようなクラウドプロバイダーに対し、連邦政府の契約獲得後の定期的なセキュリティレビューなど、厳しい新たな要件を推奨しています。専門家は、これらの要件によって企業のインセンティブがセキュリティ強化へとシフトする可能性があると指摘しています。

マイクロソフトは、最近の情報漏洩が広報面での危機を引き起こしたことを認識しているようだ。「公正な精査を期待し、歓迎します」とフェール氏は述べている。「業界のリーダーとして、私たちは自社製品とサービスのセキュリティに責任を負わなければなりません。」

同時に、マイクロソフトは、自社製品の優位性を得るために当社の立場について恐怖や不確実性、疑念を植え付けようとする競合他社を「精査されることを気にしない」とも同氏は言う。

マイクロソフトへの対抗は、バイデン政権にとって、国家サイバーセキュリティ戦略の原則を遵守する手段にもなるだろう。この戦略では、サイバーセキュリティの負担を、大規模で十分なリソースを持つテクノロジーベンダーに転嫁することを優先している。「彼らは、このバランスを変える必要があると指摘しています」とグロット氏は言う。「今の問題は、『さて、政権はこの診断結果を受けて何をするのか？』ということです」

政権がこの助言に耳を傾けている兆候が見られる。木曜日にロシアの工作員がマイクロソフトへの最新のハッキングを通じて政府機密を盗んだ可能性について記者会見した際、ゴールドスタイン氏は、CISAをはじめとする機関は「サイバーセーフティレビューボードの勧告に沿ってマイクロソフトと緊密に連携し、同社のセキュリティ文化と事業基盤の強化に向けた改善計画の更なる進展を推進している」と述べた。

一方、専門家によれば、現状ではマイクロソフトは独自に解決できる問題に対する責任を回避できているという。

「何もしないことには害はありません。少なくともこれらの企業には」とセンチネルワンのゲレロ＝サーデ氏は言う。「そして、それが私たちを破滅させるのです。」