米MSでも「防ぎ切れない」サイバー攻撃、台湾企業発の「軍事レベル」防御法とは

マイクロソフトが狙われた「サイバー攻撃」の全貌

　3月7日、筆者は台北にあるWiSECURE社を訪問した。同社は、グーグルにも提供している軍事レベル（耐量子暗号）の暗号エンジン、FIDO認証製品、暗号化ストレージなどを提供している台湾のサイバーセキュリティ企業だ。世界中でサイバー脅威が深刻化する中、最前線のセキュリティ技術はどのように攻撃と対峙しようとしているのか。同社を取材したことで見えてきた。


　WiSECUREの技術を紹介する前にまず、2023年に米国で発生した、マイクロソフトが狙われたサイバー攻撃について触れたい。

　2023年5月から6月にかけて、マイクロソフトが、中国政府系ハッカーグループ「Storm-0558」による攻撃を受け、22の組織と503人の個人が不正アクセスの被害を受けた。マイクロソフトは世界トップクラスのセキュリティを誇る企業で、多くの政府機関や企業がそのクラウドサービスを利用し、強固なセキュリティ体制に信頼を寄せている。

　攻撃と対応の詳細は、米国政府のサイバー安全審査委員会（CSRB）が2024年に公表した『2023年のマイクロソフト・エクスチェンジ・オンライン侵害に関するレビュー』（Review of the Summer 2023 Microsoft Exchange Online Intrusion）に詳しい。標的となったのは、米国商務長官ジーナ・レモンドや駐中国米国大使R.ニコラス・バーンズを含む国家安全保障関連の要人であり、国務省のサーバからは約6万件のメールが流出した。

誤情報が「まさかの半年間」放置？

　攻撃者は2016年に作られた署名キーを使って偽のログイン証明を発行し、本来アクセスできないアカウントに侵入した。本来2021年に無効化されるはずのキーが放置され、さらに企業向けと個人向けの認証システムの管理ミスもあり、政府機関のメールにまで侵入を許した。古い鍵やアクセス権を適切に管理し、不要なものを削除することが重要だったが、今回はそれが徹底されていなかったという。

　攻撃の発見も遅れた。通常、サービス提供者自身が不正アクセスを検知するべきだが、最初に異常を発見したのは米国国務省だった。2023年6月16日にマイクロソフトへ報告されるまで、同社は攻撃に気づいていなかった。影響を受けた顧客への通知方法にも問題があり、メールやSMSでの警告がスパムと誤認され、多くの被害者が適切な対応を取れなかった。

　さらに、攻撃原因の公表にも問題があった。2023年9月6日の報告では「クラッシュダンプによるキー流出」が原因とされたが、証拠がないまま公開され、訂正が行われたのは2024年3月12日だった。6カ月以上、誤った情報が放置され、企業の透明性や危機管理能力が問われる事態となった。 【次ページ】情報漏えいを防ぐ「軍事レベル」の仕組みとは