TT Incidents Log

セキュリティインシデントに関する記録 (戦争・侵略に関する記事は「TT War Log」に移動)

トップ > サービス: Microsoft Exchange > Cyber Safety Review Board Releases Report on Microsoft Online Exchange Incident from Summer 2023

Cyber Safety Review Board Releases Report on Microsoft Online Exchange Incident from Summer 2023

サービス: Microsoft Exchange *サイバー攻撃 / 不正アクセス / Cyber Attack 不正アクセス被害: Microsoft Online Exchange 攻撃組織: Storm-0558 標的型攻撃被害: RSA

【訳】

サイバーセーフティ検討会、2023年夏に発生したマイクロソフト オンラインエクスチェンジ事件に関する報告書を発表


【要約】

米国国土安全保障省は2023年夏に発生したマイクロソフト・オンラインエクスチェンジ事件の独立審査結果を発表しました。報告書は侵入の背景や対策を詳細に説明し、将来の侵入を防ぐための実践方法を提案しています。報告書はバイデン大統領に手渡され、サイバーセキュリティの重要性が強調されました。CSRBはクラウドサービスプロバイダーにセキュリティ向上策を勧告し、政府と業界の協力を強調しています。


【資料】

◆Cyber Safety Review Board Releases Report on Microsoft Online Exchange Incident from Summer 2023 (CSRB(HHS). 2024/04/02)
[サイバーセーフティ検討会、2023年夏に発生したマイクロソフト オンラインエクスチェンジ事件に関する報告書を発表]
https://www.dhs.gov/news/2024/04/02/cyber-safety-review-board-releases-report-microsoft-online-exchange-incident-summer


【翻訳】

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
サイバーセーフティ検討会、2023年夏に発生したマイクロソフト オ
ンラインエクスチェンジ事件に関する報告書を発表
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

公開日 2024年4月2日

ワシントン発 - 米国国土安全保障省(DHS)は本日、2023年夏に発生
したマイクロソフト・エクスチェンジ・オンラインへの不正侵入事件
に関するサイバー安全審査委員会(Cyber Safety Review Board:
CSRB)の独立審査結果を発表しました。このレビューでは、侵入に至
った業務上および戦略上の意思決定について詳述し、このような大規
模な侵入が二度と起こらないようにするため、産業界と政府が実施す
べき具体的な実践方法を勧告した。国土安全保障省のアレハンドロ・
N・マヨルカス長官は、理事会からCSRB報告書を受け取り、バイデン
大統領に手渡した。これは、2022年2月にCSRBが発表されて以来、3回
目のレビューとなる。

「マヨルカス長官は、「全米の個人と組織は毎日クラウドサービスに
依存しており、この技術のセキュリティはかつてないほど重要になっ
ている。「国家によるクラウド・サービス・システム侵害の手口は、
ますます巧妙になっています。CSRBのような官民パートナーシップは、
このような国家的行為者がもたらす深刻なサイバー脅威を軽減するた
めの取り組みにおいて極めて重要です。国土安全保障省は、Storm-
0558インシデントに関する理事会の包括的なレビューと報告書を高く
評価している。理事会の勧告を実施することで、今後何年にもわたっ
てサイバーセキュリティが強化されるでしょう。

CSRBは、政府と業界の一流の専門家がサイバーセキュリティに関する
重要な出来事を検討し、独立した戦略的かつ実行可能な勧告を大統領、
長官、サイバーセキュリティ・インフラ安全保障局(CISA)局長に提
供し、わが国をよりよく守るためのユニークなフォーラムです。理事
会は、民間部門のサイバーセキュリティリーダーと、DHS、CISA、国
防総省、国家安全保障局、司法省、連邦捜査局、国家サイバー長官室、
連邦最高情報責任者の高官で構成されている。

2023 年 8 月、DHS は、CSRB が 2023 年 7 月に最初に報告された最
近の Microsoft Exchange Online への侵入を評価し、該当するクラ
ウド・サービス・プロバイダ(CSP)およびその顧客に 影響を与える
クラウドベースの ID および認証インフラに関連する問題について、
より広範なレ ビューを実施すると発表した。CSRBは、サイバーセキ
ュリティ企業、テクノロジー企業、法執行機関、セキュリティ研究者、
学識者、および影響を受けた複数の組織を含む20の組織および専門家
からデータを入手し、インタビューを実施した。

包括的な検討プロセスにより、実用的な発見と提言がなされた。
CSRBの勧告の結果、CISAは主要なCSPを招集し、CSRBの勧告に沿った
クラウドセキュリティの実践方法と、CSPが定期的に証明書を発行し、
その整合性を実証するプロセスを開発する予定です。

「CISAのジェン・イースタリー所長は、「DHSは、わが国のサイバー
セキュリティの強靭性と準備態勢を有意義に改善する取り組みに尽力
しており、CSRBの活動は、この大義に対するわれわれの決意と献身を
反映している。CISAのジェン・イースタリー事務局長は、「CSRBの報
告書から得られた知見と提言が、米国人が毎日頼りにしている重要イ
ンフラに対するリスクを軽減するための行動を喚起すると確信してい
る」と述べた。

CSRBのレビューでは、中華人民共和国系と評価されるハッキンググル
ープStorm-0558による侵入は防止可能であったことが判明した。同審
査会は、マイクロソフトの一連の業務上および戦略上の決定が、企業
のセキュリティ投資と厳格なリスク管理を軽視する企業文化であった
ことを指摘し、それがマイクロソフトのテクノロジー・エコシステム
における中心的存在や、データおよび業務の保護に関して同社に寄せ
る顧客の信頼の度合いとは相反するものであったことを明らかにした。
取締役会は、マイクロソフトに対し、同社および同社の製品群全体に
わたって、セキュリティに焦点を当てた抜本的な改革を行うための具
体的な期限を定めた計画を策定し、公に共有するよう勧告する。マイ
クロソフトは取締役会の審査に全面的に協力した。

「クラウド・コンピューティングは、機密データをホストし、わが国
経済全体の事業運営を支える、最も重要なインフラストラクチャの一
部です。「クラウドサービスプロバイダーがセキュリティを優先し、
設計上組み込むことが不可欠です。同委員会は、大規模なサイバー事
件の発生後に事実調査を実施し、勧告を発表する権威ある組織となっ
ており、これまで3回のレビューではいずれも、業界や専門家から広
範な意見を得ています。我々は、理事会の7ヶ月にわたる独立したレ
ビューの過程におけるマイクロソフト社の全面的な協力に感謝してい
る。また、さらに19の企業、政府機関、個人の専門家から寄せられた
意見にも感謝している。

「CSRBのドミトリー・アルペロビッチ副委員長代理は、次のように述
べています。「この大胆な侵入を行った脅威者は、20年以上にわたっ
て業界によって追跡されており、2009年のOperation Auroraと2011年
のRSA SecureIDの侵害に関連しています。「この中華人民共和国系の
ハッカー集団は、IDシステムを侵害し、中国政府が関心を持つ個人の
電子メールを含む機密データにアクセスする能力と意図を持っていま
す。クラウドサービスプロバイダーは、このような国家行為者による
永続的で悪質な脅威から顧客を保護するために、これらの勧告を早急
に実施する必要があります。

CSRBは、すべてのクラウドサービスプロバイダーと政府パートナーに
対して、Storm-0558とその関連グループによって行われたタイプの攻
撃に対するセキュリティを改善し、回復力を構築するための具体的な
行動を推奨している。推奨事項の一部を紹介する:

クラウドサービスプロバイダーのサイバーセキュリティの実践: ク
ラウド・サービス・プロバイダは、そのデジタル ID およびクレデン
シャル・システム全体にわたって、厳密な脅威モデルに基づいて最新
の制御メカニズムおよび基本的なプラクティスを実装し、システム・
レベルの侵害リスクを大幅に低減すべきである。
監査ログ規範: クラウド・サービス・プロバイダは、クラウド・サ
ービスにおけるデフォルトの監査ロギ ングの最低基準を採用し、追
加料金なしで、侵入の検出、防止、および調査を基本的かつ日常的な
サ ービスとして提供できるようにする。
デジタル・アイデンティティの標準とガイダンス: クラウド・サー
ビス・プロバイダは、一般的な脅威ベクトルに対してクラウド・サー
ビスを保護す るために、新たなデジタル ID 標準を実装する必要が
ある。関連する標準化団体は、現代の脅威環境で一般的に悪用されて
いるデジタル ID リスクに対処するために、これらの標準を改良、更
新、組み込むべきである。
クラウド・サービス・プロバイダの透明性: クラウド・サービス・
プロバイダは、顧客、利害関係者、および米国政府間における透明性
を 最大化するために、インシデントおよび脆弱性の開示慣行を採用
すべきである。
被害者通知プロセス: クラウドサービスプロバイダは、情報共有の
取り組みを推進し、サイバーセキュリティインシデントの調査、修復、
回復のための適切な情報を増幅するために、より効果的な被害者通知
および支援メカニズムを開発すべきである。
セキュリティ基準とコンプライアンスの枠組み 米国政府は、連邦リ
スク認可管理プログラムとそれを支援するフレームワークを更新し、
特に影響の大きい事態が発生した後に、同プログラムの認可を受けた
クラウドサービス提供の裁量的な特別レビューを実施するプロセスを
確立すべきである。また、国立標準技術研究所は、クラウド・プロバ
イダーのセキュリティに関連して観測された脅威やインシデントに関
するフィードバックを取り入れるべきである。
大統領令14028号「国家のサイバーセキュリティを改善する」を通じ
たバイデン大統領の指示により、マヨルカス長官は2022年2月にCSRB
を設立した。 委員会の調査は独立して行われ、その結論も独立して
出される。DHSとCSRBは透明性を重視しており、適用される法律と機
密情報を開示から保護する必要性に沿って、可能な限りCSRB報告書の
公開版を公表する。

報告書の全文は、2023年夏に発生したMicrosoft Online Exchange事
件に関する報告書をご覧ください。

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023