Photo by Lumière Rezaie on Unsplash

美國國土安全部（Department of Homeland Security，DHS）去年針對微軟帳戶（MSA）消費者簽章金鑰外洩事件展開調查，並於本周二（4/2）發布調查結果，指出此一意外事件是可以避免的，並將肇事原因歸咎於不重視安全的微軟文化，同時建議微軟進行根本性的安全改革。

微軟是在去年中發現，中國駭客組織Storm-0558利用一個不知如何取得的微軟帳戶（MSA）消費者簽章金鑰來偽造身分認證權杖，以存取Outlook Web Access in Exchange Online（OWA）及Outlook.com用戶的電子郵件帳戶，波及歐美地區的25個政府組織，以及與這些組織有關的個人。由於包括美國商務部長Gina Raimondo、美國駐華大使Nicholas Burns，以及國會議員Don Bacon等美國政府官員的電子郵件帳戶都遭到入侵，促使DHS的網路安全審查委員會（Cyber Safety Review Board，CSRB）對此事展開全面性的調查。

CSRB於調查報告中指出，Storm-0558的成功攻擊有賴微軟一系列可避免的錯誤，例如微軟並非自行發現簽章金鑰遭駭，而是客戶發現異常後向微軟提報；在比較其它雲端服務供應商的安全措施時，發現微軟缺少了某些安全控制；微軟於2021年收購一家公司，在允許該公司員工的筆電連結微軟企業網路之前，並未偵測到此一筆電已遭駭。

此外，微軟在調查之後，於去年9月宣稱已得知遭到入侵的根本原因，但其實是錯誤的，而微軟卻一直未更新該聲明，一直到不斷收到CSRB的詢問之後，微軟才於今年3月更正。

在此一調查期間，CSRB還順便檢視了微軟今年1月所揭露的另一起資安意外，發現此一事件甚至允許不同國家級駭客組織存取高度敏感的微軟企業電子郵件帳戶、原始碼儲存庫及內部系統。

CSRB的結論是，微軟上述一系列的操作及策略上的決定，都指向了一種企業文化，亦即不重視企業安全投資與嚴格的風險管理，並不符合微軟在技術生態體系中的中心地位，亦不符合客戶對微軟保護它們的資料與操作的信任程度，該委員會建議微軟制定並公開一個具備具體時間表的計畫，針對整個企業及所有產品展開全面性的安全改革。

有鑑於微軟產品幾乎無所不在，包括用來支援美國國家安全的各種基本服務，也是美國經濟及公共健康與安全的基礎，使得CSRB要求微軟必須展現出最高的安全標準。

此外，CSRB亦建議所有的雲端服務供應商及政府合作夥伴採取具體行動，提高安全性並強化可抵禦Storm-0558及相關組織發動的各種形式的攻擊，包括執行嚴格與現代化的資安控制，審核日誌規範，制定數位身分標準與指南，透明化資安意外與漏洞資訊，打造更有效的受害者通知與支援機制，同時也呼籲美國政府更新安全標準與合規框架。