上院議員、365メール侵害におけるマイクロソフトの過失を非難

司法省、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁、および連邦取引委員会の長官は27月XNUMX日、ロン・ワイデン上院議員（民主党、オレゴン州）から「怠慢なセキュリティ慣行」に対するマイクロソフトの責任を問うよう求める書簡を受け取った。

これは、中国政府のハッカーが Microsoft 365 に侵入した後に発生しました。 25 の組織の電子メール アカウントにアクセスする。 Microsoftは、この侵害は同社のExchange Online電子メールサービスとAzure Active DirectoryのXNUMXつの脆弱性が悪用されたために発生したと主張した。 によると マイクロソフトのブログ投稿、「スパイ活動を目的とした中国を拠点とする攻撃者」は、15 月 XNUMX 日から電子メールにアクセスするために偽造した認証トークンを使用し始めました。 Microsoft は、顧客が同社に知らせ、影響を受けた顧客に直接通知した後、悪意のあるキャンペーンをブロックした。ただし、別のセキュリティ会社は最近、次のように述べた。 他の多くの Azure AD アプリケーションも危険にさらされる可能性があります.

現在、ワイデン上院議員は、マイクロソフトは次のように考えている。 重要な情報を差し控える このハッキングについては、Microsoft が自社のインフラストラクチャが脅威アクターによって侵害されたと言うのをあらゆる手段で避けてきたという事実があるためです。 

2020ページにわたるこの書簡は、外国政府が米国政府の電子メールをハッキングしようとしたのは今回のスパイ活動が初めてではないことを詳述しており、XNUMX年の SolarWinds ハッキングキャンペーン。 

「マイクロソフトは、SolarWinds ハッキングキャンペーンにおける自社の役割について決して責任を負いませんでした。 Microsoftは、2017年からMicrosoftが知っていたロシアが使用する暗号化キー盗難手法に対する防御を優先させるよう連邦政府機関を強制しなかったとして非難した。同社の顧客がMicrosoftが選択したデフォルトのログ設定を使用し、その後保存しなかったとして顧客を非難した。ハードウェア保管庫にある高価値の暗号化キー。」 ワイデン氏は書簡の中でこう述べた。 「マイクロソフトの過失の責任を問うには政府全体の取り組みが必要だ。」

同氏は続けて、この最新の侵害でマイクロソフトの責任を追及するために、さまざまな部門の責任者がとるべき行動をリストアップしているが、その書簡で言及されている人物がCISAかどうかは別として、 ジェン・イースタリー監督、 メリック・ガーランド司法長官、 とFTC リナ・カーン議長 — 彼の要求に耳を傾けるだろうか、それを語るのは時期尚早だ。