- SharePointのセキュリティ脆弱性により、海外のハッカーが米国の核兵器施設へ侵入した
- この侵害は単なるIT問題を超え、品質保証やSCADAシステムなどの運用環境にも影響が及ぶ可能性を示した
- ITとOTのセキュリティ不一致が連邦機関全体で重要な問題として浮き彫りになった
- 連邦政府は、従来のITネットワークに対するゼロトラスト戦略を進めているが、OT環境への適用は遅れつつある
- 米国防総省はOT向けゼロトラスト・コントロールの開発を推進しており、今後はITとOTを包括的に扱う統合セキュリティ戦略の整備が見込まれる
SharePointの脆弱性と米国核兵器施設への侵入
- SharePointの欠陥を利用して、海外のハッカーが米国の核兵器施設にアクセスした事件が発生した
- 専門家のSovadaは、こうした侵害が品質保証を管理する分散制御システムや、電力・環境制御を担うSCADAシステムにも影響を与える可能性があると強調した
- この問題は、単なるITの脆弱性ではないことを示唆する
IT/OT連携とゼロトラストセキュリティのギャップ
- カンザスシティ事件は、連邦機関全体でITとOTのセキュリティ慣行が一致していないという構造的な問題を浮き彫りにした
- 連邦政府は既存ITネットワーク向けゼロトラスト・ロードマップの推進を進めている
- しかし、運用技術(OT)領域では、同種のセキュリティフレームワーク構築が比較的遅れている
- 近年、このOT向けセキュリティフレームワークの開発も進展している
ITとOTのセキュリティ統合への取り組み
- Sovadaはゼロトラスト、ネットワーク分割、認証およびID管理を実現するIT管理ツール(プレイブック)が存在することを指摘した
- 米国防総省はOT環境でゼロトラスト適用のためのプレイブックを開発中である
- 最終的には、ITとOTのゼロトラスト管理ガイダンスを統合し、すべてのネットワーク種類にわたる包括的なセキュリティを実現することを目指している
1件のコメント
Hacker Newsコメント
転職オファーが来たとき、まずやることの一つはその会社のメールドメインの MX レコードを確認することだ。これは相手に気づかれず、1秒でその会社が Microsoft ベースかどうかをチェックする方法になる。 もし Microsoft なら、私にとっては大きな警戒サインだ。Microsoft 製品が一般的であるため、これはあくまで個人の経験談だが、20年以上働いて感じたのは、MSFT ベースの IT スタックを使う会社の多くは私が嫌うようなエンジニアリング文化を持っている確率が高いということだ。 Outlook、SharePoint、Teams などを使っているからといって、すべてが悪い文化の会社だと断定はできない。 ただ、面接で聞くどんな質問よりも「技術文化が悪い会社」である可能性が高い指標だと考えるので、私は今でもこの方法を使っている。 Microsoft 中心のエンジニアには失礼に聞こえるかもしれないが、ほんとうにすみません。問題は私にある。
正直に言えば、こう考えると自分が問題のある従業員のように聞こえる。 Microsoft を使わない会社は、だいたい Google を使っており、私の経験上、むしろそれの方が悪いことが多い。 実際、Microsoft 嫌いな人と働いた経験から、そうした人はチームで会社が選んだツールを使わず、いつも足を引っ張るタイプだった。 (ついでに、以前の投稿の評価が急に下がっている理由が分からない。)
会社が Mac ノートパソコンを支給してくれると私には良いシグナルで、Windows ノートパソコンだと否定的なシグナルだ。 私が働いた最高の会社では、全ソフトウェアエンジニアに Mac ノートと Linux デスクトップを標準装備として提供していた。
完全に同感。2つの環境でそれぞれ働いていたので、今後 MS 環境で働くなら年収が7桁(百万円単位)でないと絶対に戻りたくない。
個人的には、労働に対する敬意の低い会社(例:h1b ビザの乱用)と MS 環境の使用には関連があると感じる。 カリフォルニアにいると特に、地元の人材や労働者に対する敬意がほとんどない。 労働組合や州そのものまでも、すぐに壊してしまうような空気がある。
このような環境は本当にひどく悪い。 ソフトウェアとコンピューターは「もともとそこそこ」だという心理を植え付け、この文化がソフトウェアを作る人にも悪影響を与えるように思う。
こういうテーマの投稿が出ると、必ず「Microsoft がダメだろww」と言う人がいるが、彼らを支えるビジネス上の理由を考えないと思う。 Exchange を使うな?別の選択肢は何だ?15人から15万まで対応できるのか?私は7万名が使う Exchange クラスターを運用していたことがある。共有ディスクで冗長化された単一エンドポイント接続システムを置き換えられるメールソフトはあるのか? SharePoint でもまた RCE(リモートコード実行)が2件起きたと?驚くことではない。ソフト自体があまり良くないからだ。 それでもこのソフトは大規模負荷にかなり耐える。オープンソースのソリューションは小規模環境では問題ないことが多いが、大規模では頻繁に崩れる。 オープンソース開発者が、この退屈でコンピュータ不慣れなユーザーとインターフェースする仕事を無料で引き受けたくないことも理解できる。 さらに Microsoft ソフトはある程度下位互換性を提供する。会社には何十年も誰も触れていない履歴書や、マクロ付きの Excel ファイルなどレガシーなものが溢れている。 レジストリをいじってセキュリティも多少落ちるだろうが、97年の Excel マクロファイルが今も動く。MS Office 並みの互換性を持つオフィス製品は見つけにくいと思う。 要するに Microsoft は本当にゴルディウスの結び目のような課題を抱えており、事実上「下位互換はもういいから、全部アップグレードしてください」しかない。 その最中、数年前、会社から Exchange Web Services で作られたソリューションの再アップグレードを依頼されてきた。Microsoft は Office365 で Exchange Web Services を停止し、今は GraphAPI に切り替えるように求めてきた。
Exchange 中心の MS 製品のメリットを語っているようだが、今の論点は SharePoint だ。 Windows と同様に、Microsoft は Exchange のようなもので防御線を作ってきた。 本当に疑問なのは、なぜ全ての会社が Microsoft のエコシステム全体を選ぶのかということだ。特に Web 技術に関しては MS は本当に酷く、SharePoint はその中でも最悪だ。 ただ、Postfix/Dovecot のような大規模メールシステムを実際に導入している例も結構あるようだ。 reddit の大規模メールサーバー構築経験共有
SharePoint でまた RCE が起きた?そのソフトが危険だといっている。 でも結局この機能はファイル共有サーバーみたいなものではないのか?(私は使ったことがない。) Samba や FTP サーバーでも大容量は問題ないと思う。実際は UI(インターフェース)の問題だと思っている。
このようなシステムがなかった昔の核兵器製造設備はどうやって仕事していたのか気になる。
本当に Exchange サーバーを 15万ユーザー規模で支える会社がどのくらいあるのだろうか。 一般的な製造業者ではそのような規模はほとんどないはずだ。
オープンソース開発者が、このようなニッチで退屈な、コンピュータリテラシーの低いユーザーと対話するソフトウェアを引き受けることはほとんどない。 これは政府がオープンソースソフトウェアを開発する人を雇って公共の利益に貢献させることでもできるはずだ。 米国政府はオバマ政権時代に「18F」という組織を作り、実際に市民に役立つソフトウェアを開発していた。 ずっと問題だった税申告プログラムなどについて本当に効果的に働いたが、トランプは2期目就任直後にこの組織をすぐ廃止した。 (参考:18F の歴史と価値、Lawfare: 18F の教訓)
国家重要施設で SharePoint をどんな気持ちで導入しているのかさっぱり分からない。どうしてここまで重要な情報に関わる場所で SharePoint のような MS 製品を使えるのか? MS Office 365、Teams、Edge まで含めて。 今すぐセキュリティポリシーを再設計する必要があるように思う。
これについては本当に良いニュースはない。
では、代替となる解決策はあるのか。
コアな機密文書をリゾートの公共トイレに保存していたという話もある……
でも、これで全部タダで使えるじゃないか!/冗談
以前、Excel でアラートシステムをダウンさせた経験がある。 (実際は Microsoft が嫌いだからというより、予期せぬ副作用の話だ。) 私はアラートシステムを運用していて、ログベースで「alert_log」というキーワードを探す構造にしていた。 データトレース用に Excel スプレッドシートを作り、シートの一つを「alert_log」と名付けた。 しかしクラウド版 Excel を使っていたため、入力されたテキストがすべてファイアウォールを通過した。 ファイアウォールログに「alert_log」というテキストが記録された。 アラートシステムはログにこのキーワードがあると思って、通知をトリガーし続けた。 2回目の通知には再びファイアウォールログ内容が入り、無限ループが始まった。 システムが意図せず相互作用し、予想外のことが起きることがある。 だから監査に加えてレッドチーム、defense in depth のような多層防御が重要だ。
SharePoint は私が使った中で最悪で、バグが最も多いソフトウェアだ。 Solidworks(3D 設計ツール)と連携すると、ファイルが突然開かないバグが数年も続いている。 Microsoft はこの問題を知っているし、解決不能な理由も見当たらないのに、何年も放置している。 Microsoft のクラウドストレージは迷路のようで、欲しいファイルがどこにあるのか、動作しているかすら不明だ。 ある機能はブラウザ、あるものはアプリでしか動作せず、どの機能がどこで使えるかも一覧されていない。 したがって、さらに無限に侵される脆弱性があると確信している。
最近の Microsoft 製品(特にクラウド)は、使うたびに段階的なバグとエラー、想像以上の低速を体験させられる。 最近、新しいサブドメインからメール送信をしようとして 365 の DKIM 設定を探したが、このメニューの場所を見つけるのにも本当に苦労した。 結果として、サブドメインメール用の DKIM 鍵値はルートドメインに追加しなければならないことが分かった。 本当に非効率的だ。
現在政府契約プロジェクトを進めているが、Slack から MS Teams への全面移行を迫られている。 20年近く Microsoft 製品を使わずにやり過ごしてきたが、大企業/公共機関では UX の苦痛に対する耐久力が無限だということを悟っている。
私たちは Microsoft がホスティングする SharePoint に rsync でファイルを同期している。 Microsoft 系ファイル(例:Excel)の場合、ファイル到着時に内部メタデータが変わりチェックサムが変わるため、rsync がファイルが再変更されたと認識し、繰り返し同期が必要になる。
MS Word Online には少なくとも2年以上、Firefox Linux(ほかの OS でも?)でテキストを削除するバグがある。 テキストエディターが本来最優先で行うべき、文書へ文字を書くことができず、そのバグも直らない。 それよりも有料の Overleaf に乗り換えて、非専門家に LaTeX や組み込みエディターを教える方がよかった。 文書の出力も美しく、Overleaf は止まらず安定稼働している。とても満足している。 Business 365 の有料アカウント顧客であるにもかかわらず、Microsoft の優先順位が変だと思う。 MS Word の Web 版でテキストが削除されるバグの公式Q&A
SharePoint のような MS サービスは内部で非常に重要な役割を担っているにもかかわらず、まるで忘れられた問題児のように扱われているようだ。
SharePoint がそれほど良くなければ、なぜ大規模な悪用事例がないのか不思議だ。 Fortune 500 の企業の大半を相手にすると、体感では90%以上が SharePoint を使っている。 もちろん構築方法には差があるが、きちんと構築すればかなり使い物になる。 もっと良い代替案があっても、5〜10社の異なるベンダー製品を維持すること自体がもっと大変だ。 Teams が嫌だという意見も理解できない。 私は Zoom、Slack、Discord など様々なコラボレーションツールを使うが、Teams も予定、会議、録画、Copilot の活用など、すべての業務に十分使える。 Discord のリアルタイム・マルチ画面共有と自由なチャンネル参加機能はデバッグ/ペアプログラミング時に魅力的だが、Teams は基本要件は全部満たしている。
OT を支援する会社の立場から、Purdue モデルの Level 5 から Level 1/0 までの段階に直接書き込み権限を置いているのを見るたびに難儀だ。 (補足)Purdue モデルについてはこのリンクで説明されている。
この問題を見ているとhowfuckedismydatabase.com の MSSQL 編を思い出す。
(CVE-2025-53770 に関する最近のセキュリティ事件のリンク共有)
核分裂施設をインターネットに晒した人は刑務所に行くべきだと思う。