Microsoftはセキュリティより利益を優先し連邦政府や大企業のハッキングにつながる脆弱性を数年間無視していたと元従業員が証言

2020年12月、アメリカの各種政府機関や大手企業がロシア政府の支援を受けるハッカーにハッキングされ、多くの機密データが流出する事態となりました。このハッキングにはMicrosoftの製品に存在した脆弱(ぜいじゃく)性が悪用されていましたが、Microsoftの従業員はこの脆弱性を2016年から察知して繰り返し警告していたにもかかわらず、Microsoftはセキュリティより利益を優先して無視していたと報じられています。
Microsoft Refused to Fix Flaw Years Before SolarWinds Hack — ProPublica
https://www.propublica.org/article/microsoft-solarwinds-golden-saml-data-breach-russian-hackers

Microsoft Ignored Whistleblower Warnings Before SolarWinds Attack | PCMag
https://www.pcmag.com/news/microsoft-ignored-whistleblower-warnings-before-solarwinds-attack
2014年にMicrosoftへ入社したアンドリュー・ハリス氏は、7年間にわたり国防総省でデバイス保護に取り組んだ経歴を持つIDおよびアクセス管理の専門家です。Microsoftでは「ゴーストバスターズ」として知られる機密性の高いハッキング事例の対処チームに配属され、2016年には「ハッカーがアメリカの大手ハイテク企業に侵入した事例」を調査したとのこと。この事例では、企業のクラウドが関係してる点と、ハッカーがほとんど痕跡を残さずにハッキングを実行したことが特徴だったそうです。
この事例について起こりうるさまざまなシナリオを調査したハリス氏は、一度のログインで多数のクラウドサービスにログインできるようにする「Active Directoryフェデレーション サービス(AD FS)」というMicrosoft製品に、攻撃を可能にする脆弱性があることを発見しました。
AD FSではSecurity Assertion Markup Language(SAML)というコンピューター言語でユーザー認証を行いますが、一度ハッカーがAD FSサーバーから秘密鍵を抽出することに成功すると、最高レベルのアクセス権を持つユーザーになりすませる「トークン」を偽造できるとのこと。このトークンはまるで建物のマスターキーのようなものであるため、ハッカーはほとんど痕跡を残すことなく自由にクラウドサービスにログインし、重要な機密データを盗み出すことが可能だというわけです。この攻撃は「SAML攻撃」と呼ばれています。
通常、未知のIPアドレスや外部のIPアドレスがクラウドサービスにアクセスを試みると、ネットワーク管理者がそれを検知して対応します。しかし、SAML攻撃の場合はハッカーがマスターキーに相当する偽造トークンを持っているため、さまざまなサービスに入り込む際も正規のユーザーと変わらない痕跡しか残さず、検出するのがはるかに困難だとのこと。

ハリス氏がSAML攻撃の危険性について上司に訴えると、上司はMicrosoft内部のセキュリティ問題に対処するMicrosoft Security Response Center(MSRC)と話し合うように伝えました。しかし、MSRCは慢性的な人手不足に悩まされており、「どうすれば問題を解決せずに済ませられるか」を考える傾向にあったとのことで、「次の製品バージョンで解決する」と伝えて修正を後回しにすることが多かったそうです。
SAML攻撃についても同様で、ハッカーがまずオンプレミスのサーバーにアクセスしないと脆弱性を悪用できないことから、緊急性の低い問題だとしてMSRCは対応を拒否しました。ハリス氏は反発し、問題は深刻だと訴えたもののMSRCは断固とした姿勢を崩しませんでした。
そこでハリス氏は、プロダクトマネージャーのマーク・モロフチンスキー氏らとミーティングの約束を取り付け、別の方面からSAML攻撃の危険性について訴えました。製品自体を修正するには時間がかかりますが、ハリス氏は1回のログインでオンプレミスサーバーと各種クラウドサービスにアクセス可能になる「シームレスシングルサインオン(シームレスSSO)」をオフにするよう顧客に伝え、脆弱性の悪用を防げないかと提案したそうです。
しかし、モロフチンスキー氏らは「SAML攻撃の危険性を公に認めると、それに気付いたハッカーに悪用されるリスクがある」「シームレスSSOをオフにすると顧客が離れてしまうリスクがある」という理由から対応を拒否しました。特に後者は、シームレスSSOをオフにすると重要顧客である連邦政府の従業員の利便性が低下し、今後の国防総省などとの契約に支障が生じる可能性があるというものでした。当時のMicrosoftはAppleなどの競合他社に遅れを取る中、クラウドサービスに注力して立て直しを図っている時期であり、連邦政府との契約は社内で特に重要視されていたとのこと。
ハリス氏は当時のことについて、「Microsoftの基準では、シームレスSSOをオフにして認証を2回するという速度低下は受け入れがたいものだったのです」と非営利メディアのProPublicaに語っています。製品グループからはSAML攻撃への対応をしない理由について、技術的な決定ではなくビジネス上の決定だと伝えられたそうで、「彼らが言っていたことはMicrosoftで聞いていた『顧客第一主義』とは正反対でした。彼らが言っているのは『ビジネス第一主義』です」とハリス氏は非難しました。

2017年にはサイバーセキュリティ企業のCyberArkがSAML攻撃の危険性についてのブログ記事を公開するなど、ハリス氏はSAML攻撃が実際に悪用される可能性の高まりを感じていました。
しかし、繰り返しMicrosoftに問題修正を訴えたもののMSRCはやはり対処しなかったことから、ハリス氏は個人的にLinkedInへAD FSについての警告を投稿したり、個人的につながりのあったニューヨーク市警と協力してシームレスSSOをオフにさせたりしていました。当時ハリス氏と面談し、シームレスSSOのオフを決定したというニューヨーク市警IT部門トップのマシュー・フレイザー氏は、「SAML攻撃は重要性の高い問題として特定されました。そこで、問題を隔離してセキュリティを確保するために最善の方法を見つけました」とコメントしています。
何度もSAML攻撃の問題を訴えたものの聞き入れられなかったハリス氏は、2020年8月にMicrosoftを退社し、その後はサイバーセキュリティ企業のCrowdStrikeに入社しました。そしてハリス氏の退社から4カ月後に大規模なサイバー攻撃が発覚し、ハリス氏が懸念していた通りAD FSの脆弱性が悪用され、連邦政府や大企業の機密情報が流出したことが報じられました。
ProPublicaの問い合わせに対し、Microsoftは関係者がインタビューに応じることは拒否したものの、調査内容に異議を唱えることはしませんでした。MicrosoftはProPublicaへの声明で、「顧客を保護することは常に当社の最優先事項です」「私たちは潜在的な顧客の混乱、悪用の可能性、および利用可能な緩和策を考慮して、セキュリティ対応作業の優先順位を決定しています」とコメントしました。