先日も取り上げた中国のハッカー集団「Storm-0558」に盗まれたMicrosoftのマネージドサービスアカウント（MSA）署名鍵。

Microsoftは17年以来、同社のソフトウェアを使っている顧客のサーバからひそかに暗号鍵が抜き取られる可能性があることを知っていながら、顧客への注意喚起を怠った。

サイバーセキュリティ企業Tenableのアミット・ヨーランCEOも「露骨な怠慢とは言わないまでも、はなはだ無責任」と指摘。
「Microsoftの場合、脆弱性の重大性を否定する文化がある」とも。
尚、ヨーラン氏は米国土安全保障省の国家サイバーセキュリティ局長を務めた経歴の持ち主。

この脆弱性については3月30日にMicrosoftに通知したにもかかわらず「4カ月たっても完全な修正が行われていない」とヨーラン氏。
この脆弱性を悪用すれば、銀行の機密情報への不正アクセスも可能だという。

前回も書いたが、Microsoftアカウント（MSA）の署名鍵が漏洩したと言う事の重大性がMicrosoftには分かっていないのだろうか。

※関連情報
「ずさんなセキュリティ」「無責任」──不正アクセス巡り、米Microsoftへの批判噴出