あまり知られていないマイクロソフトのプログラムにより、米国防総省が中国ハッカーの脅威に晒される可能性

佐々山 Tacos

2025.07.16

あまり知られていないマイクロソフトのプログラムにより、米国防総省が中国ハッカーの脅威に晒される可能性

ProPublica – July 15, 2025

マイクロソフトは米国国防総省のコンピューターシステムの維持管理を中国在住のエンジニアを使って行っているが、こうした人材の監督が最小限にしかなされていないことから、国家が持つ機密性の高いデータがハッキングのリスクに晒されている恐れがあるという。非営利報道機関のProPublicaが調査の結果を報告した。

マイクロソフトの「デジタルエスコート」システムとは？

今回ProPublicaは、マイクロソフトが採用している「デジタルエスコート」というシステムにおける問題点を取り上げている。2000年代に入りクラウドテクノロジーが登場・台頭し始めると、米連邦政府の関係者らはクラウドの利用によりパワー向上や効率アップ、コスト節約を期待し、政府システムをクラウドへ移行していくこととなった。しかし一方でクラウドへの移行は政府の情報を管理し、取り扱うことのできる力がマイクロソフトなどの企業へ引き渡されること、そしてこれまで連邦政府職員が担っていたタスクをマイクロソフト社員が請け負うようになることを意味していた。

これに伴うリスクへ対処するため、米政府は2011年に「FedRAMP（米国連邦政府によるリスクおよび認証管理プログラム）」と呼ばれるクラウド製品やクラウドサービスを対象としたセキュリティ評価、認可、継続的モニタリングの標準規格を規定するプログラムを開始。米政府がクラウドを調達する際の評価・認証に使われるもので、ISMAPがこのFedRAMPの日本版と言える。FedRAMPのもと、国防総省は独自のクラウドガイドラインも設け、機微なデータを扱う人員を米国籍保持者または永住権保持者に限定することを義務付けた。

インド、中国、ヨーロッパなどで多くの事業を展開し、世界中に従業員を抱えるマイクロソフトがこの要件に対応するために採用しているのが、デジタルエスコートというコンセプト。これは、セキュリティクリアランスを持つ米国籍のスタッフが外国籍エンジニアの「デジタルエスコート」となり、こうしたエンジニアのタスクを管理・監督するというもので、2016年ごろから実際の業務に取り入れられ始めたという。

＜デジタルエスコートを通じたサポート業務の例＞

マイクロソフト製クラウド製品に関する技術的なサポートが要請される
中国在住のマイクロソフトのエンジニアが、当該業務を引き受けるためオンラインの「チケット」を発行する
米国にいるエスコートが当該チケットをピックアップする
エンジニアとエスコートがMicrosoft Teams上でミーティングを行う
エンジニアがエスコートへコンピューターコマンドを送付する（このフェーズは、有害なコードを潜ませる機会をなり得る）
エスコートは確認の上、このコマンドを連邦政府のクラウドシステムへ入力する

デジタルエスコートをめぐる懸念

ProPublicaは、複数の専門家やマイクロソフトの業務に携わる人々がこのデジタルエスコート制度に懸念を示していると伝えている。こうした人々によれば、たとえエスコートが間に入っていたとしても、外国のエンジニアは連邦政府クラウドに関する詳細な情報を内々に閲覧できる上、エスコートは疑わしいアクティビティを見つけ出すために必要な知識やスキルを有していない場合があるのだという。

マイクロソフトがエスコートシステムを使って扱っている情報には、Classified （秘密指定）未満の機微な情報が含まれる。米政府は、「インパクトレベルが高い」カテゴリーに分類されるこうした情報の中には「生命の保護や財政破綻に関わるデータ」があるとしており、この種の情報の「機密性、完全性または可用性」が失われると業務/事業活動、資産、個人に対して「深刻または壊滅的な悪影響が及ぼされる可能性がある」と述べている。また国防総省においては、このデータは「インパクトレベル4」および「5」にカテゴライズされており、軍事作戦を直接サポートする資料などを含むとされる。

CIAやNSAでシニアエグゼクティブを務めたことのあるHarry Coker氏は、自身がもし諜報員だったとしたら「（デジタルエスコートを）極めて価値の高いアクセス手段とみなすだろう」と述べている。デジタルエスコートシステムの監督下にある外国籍エンジニアが実際に米政府に対するサイバー攻撃を実行したことがあるかどうかは不明だが、バイデン政権下では国家サイバー長官も務めた同氏は、このシステムが「過去数十年間に米国が直面してきた多くの課題の要因の一つである可能性」を指摘した。

外国籍エンジニアとエスコートのスキルギャップ

エスコートシステムへの懸念を表明する人々が問題視している点の1つが、デジタルエスコートとエンジニアとの間にスキルや知識のギャップが存在すること。マイクロソフトの委託先であるInsight Global社が1月に出したエスコート職の求人広告によれば、時給は18ドルからスタートで、特定の技術的スキルを有していることが「かなり望まし」く、「歓迎される」ものの、メインの必須条件は国防総省の発行した有効な「secret（極秘）」レベルのクリアランスを有していることで、実際にInsight Global社を通じてエスコート職に就いた者の多くは元軍人が占め、コーディングの経験をほぼ持たない場合があるという。

Insight Globalでエスコートとして働くある従業員は、エンジニアの「非常に技術的な指示」を「技術に詳しくない人々（エスコート）」が受け、限定的なチェックしか行わずに指示されたコマンドを政府クラウドへコピー・ペーストしている旨をProPublicaに伝え、ハッキングを仕掛ける無限の機会が提供されていると付け加えている。例えば、外部の第三者がネットワークへアクセスすることを可能にするアップデートがエンジニアによりインストールされることもあり得るのだという。

マイクロソフトやInsight Globalは、エスコートを実際に業務へ就かせる前に適切なトレーニングを実施していると述べているものの、マイクロソフトの元エンジニアでエスコードシステムにも携わっていたMatthew Erickson氏は、「もし何者かが『fix_servers.sh』と言うスクリプトを実行したとして、しかし実際には悪意ある行為を行っていたとしても、（エスコートたちは）そのようなことが行われているとは夢にも思わないだろう」と指摘。同氏はさらに、エスコートがいたとしても外国の開発者たちが「悪い」ことをするのを防げるわけではなく、「単に（その行為の）記録と証人が残ることになるだけ」だとも述べた。

中国の脅威

50名ほどから成るマイクロソフトのエスコートチームは、中国を拠点とする同社のエンジニアや開発者と毎月数百件のやり取りを行い、こうしたエンジニアらの指示を連邦政府のネットワークに入力しているという。2023年に中国のハッカーが米連邦政府職員から6万通のEメールを盗んだインシデントが発生していることもあり、ProPublicaの取材に応じた現職エスコートは、週あたり数十件のチケットが中国在住のエンジニアたちから発行されていることに懸念を抱いている。

また、イエール大学法科大学院の上級研究員であるJeremy Daum氏によれば、中国の法律では、政府職員が「正当とみなす行為を行っている限り」データ収集を行うことが認められているという。これを踏まえて同氏は、マイクロソフトの中国拠点のテクニカルサポートが米国政府向けに提供されていることにより、スパイ活動の機会が提供されると指摘。諜報の経験者を当該エンジニア職に配置するか、すでにこの職に就いている人物から情報を引き出すかのいずれかの手段が考えられるものの、後者の場合、「（この職に就いている）中国市民や企業が、治安当局や法執行機関からの直接的な要請に意味のある抵抗をすることは困難だろう」とも述べた。

無視された警告

複数の関係者がProPublicaに伝えたところによると、エスコートシステムは本質的にリスクが高いとマイクロソフトに警告したが、同社はそれでもこのシステムを立ち上げ、拡大したという。ある現職エスコートは、数年間にわたり、最近では4月にも、マイクロソフトに対して（エスコート・エンジニア間の）知識のギャップに関する懸念を繰り返し指摘し、Insight Globalの弁護士にも同様の指摘を行ったと述べているが、両社がこの問題に対する措置を講じたかどうかは不明。

またInsight Globalの元請負業者で、エスコートシステムに精通しているソフトウェア開発者のTom Schiller氏も、複数の連邦議員にデジタルエスコートに関する警告を書き送っている。この警告は国防情報システム局（DISA）へ届き、DISAが同氏への聴取を実施したものの、その後このケースは閉じられたとの書面での通知があったという。DISAの広報担当はProPublicaに対し、マイクロソフトの声明を引用する形で「エスコート監督下の専門家は政府システムに直接的なアクセス権限を持たず、代わりに、実際にタスクを実施する承認された管理者に対して指導や助言を提供する」などと、同システムに問題はないと示唆するような回答をしている。

エスコート管理下のエンジニアが何らかの不正を働いたことがあるかどうか、また今後働く可能性があるかどうかを知るのは困難だが、ProPublicaによれば、貿易戦争がくすぶる状況下で米中関係が悪化していく中、中国によるサイバー報復が実施される恐れもあることから、デジタルエスコートをめぐるリスクはより深刻化していくことも考えられるとのこと。