「Microsoftアカウントの侵害」で苦境に立つ当事者　もはや弁明の余地なし：Microsoftに問う「安全対策とは何か」【後編】

　Storm-0558の攻撃があったことについて、Microsoftは連邦民間行政機関（FCEB）から報告を受けた。サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）によると、FCEBが攻撃を検知できたのは、Microsoftよりも詳細なセキュリティ監視を実施しているためだ。MicrosoftはFCEBの報告を受けてから、セキュリティを強化する方針を打ち出した。だが同社には、攻撃を巡る情報提供が不十分だったことについてセキュリティ専門家からの批判が集中した。

　MSAのコンシューマーキーを使って法人のメールアカウントにアクセスできたのはなぜなのか――セキュリティ専門家はそう疑問を呈した。これに関してMicrosoftは、一般消費者向けと法人向けの両方のアカウントを使っているユーザーにとっての利便性向上を目指しており、そのための技術導入が原因だと説明する。その技術は2018年9月に導入したという。同社は今回のような攻撃の再発防止策として、データ流出を検知する仕組みを見直す方針だ。

　Storm-0558の攻撃を巡るMicrosoftの動きについて、セキュリティ専門家だけではなく、米国政府の関係者も批判した。Storm-0558の攻撃の目的は、米国の連邦政府機関を含めた組織から機密情報を盗み、スパイ活動に使うことだとみられる。ロン・ワイデン上院議員（民主党）は2023年8月に公開した書簡で、「米国政府に対する中国のスパイ活動を可能にした、ずさんなセキュリティ対策についてMicrosoftは責任を負うべきだ」と述べた。

　米国土安全保障省（DHS）は2023年8月、クラウドサービスのセキュリティリスクの詳細な評価と、クラウドベンダー側における認証情報管理の強化に向けた取り組みに着手したと発表した。セキュリティリスクの評価には、Storm-0558の攻撃活動も含まれるという。