セキュリティ会社がマイクロソフトを提訴、盗まれたログイン情報とパスワードの山を悪用したと主張

[ 2023年12月8日更新：シアトルの連邦判事は、マイクロソフトによるHold Security LLCの訴訟棄却の申し立てを認めたが、ミルウォーキー地域の同社が訴状を再提出する可能性は残した。]

セキュリティ脅威情報会社は、ダークウェブから収集された3億6000万件以上の侵害されたアカウントのログイン情報とパスワードを含む同社のデータベースをマイクロソフトが悪用したと主張している。

ミルウォーキー地域に拠点を置くホールド・セキュリティLLC社は、マイクロソフトが、自社の顧客のセキュリティ保護に使用した後、マイクロソフトのログインとは関連しない認証情報のコピーを破棄するという約束を守らなかったと述べている。

マイクロソフトは、これらの申し立ては同社との契約を誤解させるものだと主張している。レドモンドに本社を置く同社は、ホールド・セキュリティ社が今週シアトルのキング郡上級裁判所に提起した訴訟の却下を求めるとしている。

この訴訟は、マイクロソフトの2つの最大の買収、サイバーセキュリティ界の著名人2人によるTwitterでのやり取り、そしてこのテクノロジー大手によるTrickbotマルウェアの背後にある犯罪ネットワークを壊滅させる取り組みに関係している。

盗難された認証情報のデータベース：訴状では、「2014年初頭、Hold社は機密性の高い業務慣行と自社の業務成果物を通じて、ダークウェブ上で盗まれた3億6000万件以上のアカウント認証情報にアクセスした。これらのアカウント認証情報は、侵害されたメールアドレスとパスワードで構成されていた」と説明されている。

訴状によると、マイクロソフトはホールド社と契約を結び、顧客のセキュリティ確保のために認証情報を使用し、ログイン情報とパスワードが侵害されたことを顧客に警告していた。訴状によると、盗まれた認証情報のうちマイクロソフトアカウントと一致しないものは「マイクロソフトによって使用されず、マイクロソフトによって破棄されることになっていた」という。

「これは両当事者の理解と合意における重要な側面でした」と声明は付け加えている。「マイクロソフトもホールド氏も、盗まれたアカウント認証情報を当時のマイクロソフトの既存顧客を保護する以外の目的で使用することを検討したり、その旨を伝えたりしていませんでした。」

不正使用の申し立て: Hold Security 社は訴訟の中で、Microsoft が盗んだ認証情報を 2015 年の契約の範囲を超えて、Active Directory Federation Services (AD FS)、および Microsoft がそれぞれ 2016 年と 2018 年に買収した 2 つの企業である LinkedIn と GitHub に不適切に適用したと主張している。

訴訟では、マイクロソフトが盗まれた認証情報をLinkedInとGitHubの「管理に」使用したと主張しているが、この点に関する詳細は明らかにされていない。ホールド・セキュリティの弁護士は今週、コメント要請に応じなかった。

「ホールド氏は、AD FS、LinkedIn、およびGithubの取引において、盗まれたアカウント認証情報がマイクロソフトによって不適切に使用されていたことを認識していなかった。また、情報と確信に基づき、上記で説明した以外にもデータの不正使用があった可能性があると考えている」と訴状は述べている。

訴訟では、マイクロソフトが2020年にホールド・セキュリティ社との追加のライセンス交渉を終了した後、マイクロソフトがホールド・セキュリティ社の盗難された認証情報のデータベースを「乗っ取り」、第三者が同社のEdgeウェブブラウザを通じてホールド社のサービスを使用することを不当に許可したと主張している。

マイクロソフトの回答：「過去数ヶ月にわたり、マイクロソフトはホールド・セキュリティ社の担当者と連絡を取り合い、両社の契約関係をめぐる紛争を友好的に解決すべく努力してきました」とマイクロソフトの広報担当者は声明で述べた。「訴訟における主張は契約条件を正確に反映していないため、マイクロソフトは主張の却下を求める予定です。」

訴訟が契約条件を正確に反映していないという主張について詳しく説明するよう求められた広報担当者は、詳細はマイクロソフトが今後提出する訴訟却下の申立てに含まれるだろうと述べた。

報復の申し立て：訴訟では報復の申し立てもなされており、マイクロソフトがホールド・セキュリティのオーナーであるアレックス・ホールデン氏が2020年10月に記者に対し、トリックボットマルウェアの背後にある犯罪行為を阻止しようとするマイクロソフトの取り組みは「決定的な勝利」ではないと語った後、マイクロソフトがホールド・セキュリティを弱体化させようとしたと主張している。

ホールド・セキュリティー社は、マイクロソフト社のデジタル犯罪対策ユニットのリーダーが同社との取引を停止するようマイクロソフト社の従業員に指示したと主張している。

訴状では、「マイクロソフトはホールデン氏の公の発言に異議を唱え、ホールド氏への報復措置を決定したようだ」と述べられている。「その結果、ホールド氏は大きなビジネス上の損失を被った」

2020 年 10 月の Twitter でのやり取り:同様に、この訴訟では、当時マイクロソフトの上級脅威インテリジェンスアナリストであった Kevin Beaumont 氏とサイバーセキュリティ ジャーナリストの Brian Krebs 氏との間で行われた 2020 年 10 月の Twitter でのやり取りも引用されています。

ボーモント氏が当時投稿したツイートには、ホールデン氏を情報源として挙げた2020年10月28日付のクレブス氏による記事へのリンクが貼られていた。ボーモント氏は、当時ホールド・セキュリティ社が自社のウェブサイトでクレブス氏を「取締役会メンバー」としてリストアップしていたと指摘した。

Hold Security のサイトには、Krebs 氏が Hold Security の諮問委員会のメンバーとして記載されていました (アーカイブはここで参照してください)。

ボーモント氏は当時、Twitterで「ホールド・セキュリティやブライアン・クレブス氏、あるいは病院のランサムウェア事件全体を批判しているわけではありません。ただ、Trickbotに関する大きなニュースの中に、あるジャーナリストがサイバーセキュリティ企業の取締役として名を連ねているのを見て驚いただけです」と付け加えた。

クレブス氏は当時、自分は無給のアドバイザーだと答えた。

今週、この訴訟について電子メールで連絡を受けたクレブス氏は、次のように詳しく説明した。

アレックスと私はほぼ同時期に会社を立ち上げました。彼から顧問委員会への参加を打診された時、私はためらうことなく引き受けました。彼の成功を見届けたかったからです。報酬は期待も受け取ってもいませんでした。アレックスに10年経って私の名前を削除するよう依頼したのは、彼の会社が順調に発展しているように見えたことと、ボーモント氏のツイートが、何の脈絡もなく、あるいは何か悪意のあることをほのめかす形で注目を集めた初めてのケースではなかったからです。

訴状によると、ボーモント氏は「マイクロソフトの代理人として、ホールドに関する虚偽の情報をツイートし、その結果、ホールドは顧問委員会の主要メンバーであるブライアン・クレブス氏を失うことになった。これにより、ホールドはさらなるビジネス上の損失を被った」とされている。

現在はマイクロソフトで働いていないボーモント氏は今週、訴訟で彼について述べられている内容は真実ではなく、マイクロソフトはホールド・セキュリティやその状況に関連することについてツイートするよう彼に指示したことは一度もないと述べた。

「マイクロソフトでツイートしてほしいと頼まれたのは一度だけで、ファームウェア攻撃に関するマーケティングブログのツイートでした。内容が良くなかったので断りました」とボーモント氏は語った。「データ共有契約については知りませんでしたし、そのデータを使用する部署で働いていたわけでもありません。別の事業部に所属していたのですから」

ボーモント氏は、マイクロソフトによるTrickbot排除の試みは成功しなかったというホールド・セキュリティの意見に同意すると述べた。

訴訟内容は次のとおりです。

ScribdのGeekWireによるHold Security対Microsoftの記事