報告書:マイクロソフトは2013年に脆弱性データベースの侵害を公表しなかった
トム・クレイジット著
新たな報告書によると、マイクロソフトの既知のソフトウェア脆弱性に関する社内データベースには、自社製ソフトウェアと他社製ソフトウェアの両方の欠陥の詳細が含まれていたが、2013年にハッキングされたという。
ロイター通信は火曜日、同社の元従業員5人の話として、「高度なハッキンググループ」が4年前にデータベースにアクセスしたと報じた。これは、マイクロソフトが公表していないセキュリティ対策の重大な侵害行為である。ロイター通信によると、マイクロソフトは侵害後すぐにソフトウェア関連の欠陥を修正したが、このハッキングによって他の製品が悪用されたかどうかは不明である。
現代のセキュリティチームは、自社が開発・保守するソフトウェアだけでなく、あらゆる種類のソフトウェアの欠陥を調査します。例えば、MicrosoftとGoogleのセキュリティチームは、長年にわたり互いの製品の欠陥を公開してきました。これは、適切に精査されたプロセスであり、競争上の優位性を得るためというよりも、脆弱性をできるだけ早く修正することに重点を置いています。
しかし、マイクロソフトは、データベースに記載されているソフトウェアの欠陥に関与した企業に対し、これらの脆弱性が犯罪者によって発見されたことを一度も通知していないようだ。AppleやFacebookを含む複数のテクノロジー企業は、この侵害の犯人とみられるグループによってほぼ同時期にハッキングされているため、ハッカーたちは既に目的を達成していた可能性がある。
マイクロソフトはその後、2013 年のハッキングを認める声明を発表しましたが、脆弱性データベースについてはここでも何も述べていません。
2013年2月、当社は、当時他社で発見されたものと同様のマルウェアが、当社のMac事業部門を含む少数のコンピュータで発見されたことを公表しました。調査の結果、情報が盗まれ、その後の攻撃に使用されたという証拠は見つかりませんでした。
(編集者注: この投稿は Microsoft からの声明を受けて更新されました。)
