locom2 diary

少数意見こそが真実を伝えている。個性派揃いの海外ブロガーたちの記事を紹介。

マイクロソフト クラウドが中国のハッカーによって侵害される⚡️ スティーブン・ブライエン

スティーブン・ブライエン

MICROSOFT CLOUD COMPROMISED BY CHINESE HACKERS

ティーブン・ブライエン著:13/07/2023

ワシントン・ポスト紙とウォール・ストリート・ジャーナル紙は2023年7月12日、マイクロソフトクラウド・コンピューティング・システムが「Storm-0558」と呼ばれる中国のグループによってハッキングされたと報じた。 この攻撃は印象的でステルス的であったとされている。 マイクロソフトクラウドプラットフォームは、米国防総省を含む商業および政府クライアントをホストしている。 これまでに判明していること(確かに多くはないが)によると、中国のハッカーは4月にマイクロソフトクラウドシステムに侵入し、6月中旬まで発見されずに稼働することができたという。 言い換えれば、少なくとも6週間、中国のスパイはアメリカのセキュリティを犠牲にしてタダ飯を食っていたことになる。 中国によるアメリカのサイバー資産のハッキングは、今に始まったことではない。これまで、強力な努力にもかかわらず、国防総省やその他の政府組織(特に核兵器を担当するエネルギー省)は日常的にハッキングされてきた。 明確な例としては、F-35ステルスジェット戦闘機に関する約50ギガバイトの機密情報が中国によって吸い上げられ、J-20ステルスジェットの設計がはるかに容易になったことが挙げられる。 残念ながら、我々が知っているのは氷山の一角に過ぎない。 ハッキングを発見するのは難しい。 クラウド事業者やネットワーク事業者も、何十億ドルものビジネスを失うことに直面するため、ハッキングされたことを知りたくないのだ。 そして米国政府もまた、米国の納税者が支払った数十億ドルの投資資金を失ったことを国民に知られたくないのだ。 最悪なのは、クラウドを含むコンピューター・ネットワークが侵害されると、米国のセキュリティは常に打撃を受けるということだ。 重要なことは、今回の漏洩は完全に予測可能だったということだ。 2018年、私はハドソン研究所の専門家パネルに参加した。 私たちのパネルは、国防総省の全データをアマゾンのジェフ・ベゾスが運営する単一のクラウドプラットフォームに置くという当時の計画について議論した。 私たちが当時提起した深刻な疑問のおかげもあって、国防総省は最終的に単一のクラウド・データ・リポジトリから手を引き、国防総省クラウド・コンピューティングをいくつかの個別のクラウド契約に分割することを選択した。

この決定は、リスクを分散させることに少しは役立ったが、別の問題も引き起こした。 たとえば、マイクロソフトのプラットフォームが商業データと政府データを結合していることを考えてみよう。 政府のデータ、この場合は電子メールと思われるが、機密扱いではなかったため、クリアランスされた要員を必要とする厳格なセキュリティ規則が適用されなかったことも考えてほしい。 政府の機密と非機密のコンピューティングの区分はインチキだ。 例えば、多くの機密技術は非機密扱いだ。 その情報が中国のような悪者の手に渡れば、アメリカの国家安全保障が損なわれる。

DODは "機密だが機密ではない(SBU)"という新しいカテゴリーを考えた。 その背景には、SBU情報により厳しい開示規則を適用するという考えがある。 残念ながら、SBU情報をどのように識別するかというルールブックはない。 表向きは非機密扱いとなっている電子メールに関しては、何のルールもない。 これをクラウド・コンピューティングに当てはめると、クラウド上の国防総省の情報は、たとえSBUであっても、商用情報よりも保護されていないということになる。 商業的に運用されるクラウドシステムの問題は、そこで働く職員が外国人であることが非常に多いことだ。アメリカのハイテク企業は、H1-Bとして知られる特別なビザ免除プログラムのもと、何千人もの外国人従業員を雇用している。

問題は外国人労働者よりも大きい。 DODがそのコンピューターに対して行うことになっているセキュリティの監査は、DODの管理下にない商用プラットフォームには適用されない。 2018年に我々は、DODと商業用コンピュータの両方で使用されているハードウェアのほとんどがアジアからのものであることを指摘した。 そのため、ハッカーの侵入口が危殆化したハードウェアからもたらされる危険性があると警告した。 当時、我々は多くの商用ネットワーク・ルーターが中国製であったり、危険なマイクロコードが製造時点で挿入される可能性のある中国製部品を使用していたりして、バックドアを持っていることを認識していた。 私たちはまた、国防総省が配備された軍用システムを含む国防総省の作戦全般にわたって商用ハードウェアを使用していることも指摘した。 今日、それはさらに悪化している。 レイセオンのトップは最近、同社は機密性の高い防衛製品について、中国を含むアジアからの重要な部品に依存していると述べた。 レイセオン社に当てはまることは、間違いなくアメリカのすべての防衛メーカー、そして多くの外国メーカーにも当てはまる。 ハッカー集団Storm-0558の全容が明らかになるかどうかは、フォレンジックが全容を解明できるかどうかにかかっている。

一方、Microsoftはハッキング侵入が発見されてから「軽減」したと述べている。マイクロソフトはまた、「政府」を含む25の組織がハッキングされたと発表した。ハッキングは、匿名の欧州政府機関にも及んだ。 Microsoftのハッキングは同社ではなく政府が発見した。政府は「米国政府の調達プロバイダーに対し、引き続き高いセキュリティ基準を課している」としている。 しかし、被害の全容が明らかにならなかったとしても、あるいは侵害が何らかの形で闇に葬られたとしても、国家安全保障情報は2018年やその何年も前と同じくらい2023年にも危険にさらされているという事実は変わらない。 米国の国家安全保障を守るためのより良い方法を見つけるために、最高の頭脳を結集することは良い考えだろう。それには、真のリーダーシップと、いかなる主要な取り組みにおいても懐疑論者を積極的に参加させる姿勢が必要となるだろう。残念なことに、過去には、これらの見直しには、何も変更しないことに既得権益を持つ政府関係者と、主に政府との契約に基づいて徴収することに関心のある業界が関与していました。確かに私たちはもっと良くできるはずです。 真実を言えば、政府が商用クラウド コンピューティングをサポートしたい場合は、クラウド ネットワークを保護し、セキュリティ対象範囲を拡大する方法を再定義する必要があります。