同一金鑰用7年！美部長電郵遭中國駭入　議員控微軟應負重責要求調查

美國多名政府高官的電郵今年稍早遭中國駭客攻擊，這些電郵服務均由微軟提供。有國會議員要求對微軟展開三項獨立調查，痛批微軟未遵守網安基本規則。研究指出，微軟建議客戶經常更換金鑰，自己的金鑰卻沿用多年，讓駭客取得金鑰後如入無人之境，可四處窺看美國政府官員的電郵。

美國政府本月稍早證實，美國商務部長雷蒙多（Gina Raimondo）、國務院亞太助卿康達（Daniel Kritenbrink）、美國駐中大使伯恩斯（Nicholas Burns）等官員的電郵均在今年5、6月間被駭。這些由微軟提供的電郵信箱只處理非機密郵件。

《華爾街日報》27日報導，美國國會已針對此事展開連番質詢，關注網路安全議題的聯邦參議員懷登（Ron Wyden）指微軟「網安執行怠忽職守」，對於這次中國入侵美國政府官員電郵「要負重大責任」。

微軟先前坦言，MSA數位簽署金鑰可用於微軟的消費者產品，但因微軟的雲端系統有漏洞，駭客可用竊得的MSA金鑰駭入該公司客戶的資料，這些客戶包括企業與政府機構。

擁有MSA金鑰「想冒充誰都行」

雲端安全公司Wiz共同創辦人拉特瓦克（Ami Luttwak）指出，MSA金鑰是「最珍貴的秘密」，擁有它「就像擁有一台能印出全世界所有護照的印刷機：你想冒充誰都行」。

研究人員發現，微軟被盜的MSA金鑰是2016年發出，直到發現政府官員電郵遭駭後幾週，微軟才讓它失效。微軟發言人坦言，這項發現是該公司先前未觀察到的。

懷登指出，聯邦政府的網安指引、企業界的網安守則、甚至連微軟自己向客戶發出的建議，都說加密金鑰應經常更換，「原因就是它們可能遭竊取」。

美議員要求三大部門調查微軟

懷登已分別致函司法部、聯邦貿易委員會（FTC）、網路安全與基礎設施安全局等三大機關，要求對微軟進行三項各自獨立的聯邦調查，包括微軟是否違反政府承包商網安措施的相關法律、為何政府稽核未發現如此明顯的安全漏洞等。

美國政府迄未正式宣布這起駭客攻擊與中國有關，不過微軟已主動表示，發動攻擊者是來自中國的駭客團體；美國官員與國會議員也直指北京是主謀。

微軟指出，這次攻擊的受害者遍及全球二十多個組織，其中在美國的不到10個。美國官員表示，這次網攻是針對具高度情報價值的特定人士，只有少數官員的帳號被駭。