マイクロソフトの中国技術サポート利用が米政府データ流出懸念を招く。

要約：エグゼクティブ・ブリーフ

マイクロソフトの物議を醸す取り決めの核心には、セキュリティ要件と企業効率の間の妥協点として設計されたシステムがある。このテクノロジー大手はほぼ10年間にわたり、いわゆる「デジタル・エスコート」——機密情報取扱許可を持つ米国市民が、外国人のエンジニアと機密性の高い政府システムとの間を取り持つ仲介役として——を活用してきた。

このシステムは、中国人技術者が米側の技術指導担当者に技術指示を提供し、彼らが連邦ネットワーク上で命令を実行する仕組みだ。ただし、担当者は自らの行動の全容を理解していない場合もある。プロパブリカが明らかにしたところによると、こうした「デジタル技術指導担当者」と呼ばれる労働者は、はるかに高度なスキルを持つ外国人技術者を監督する技術的専門知識を欠いていることが多い。中にはコーディング経験がほとんどない元軍人であり、最低賃金とほとんど変わらない賃金で働いている者もいる。

この取り決めは2010年代初頭に考案された。マイクロソフトが収益性の高い連邦政府向けクラウドコンピューティング契約を獲得しつつ、グローバルな従業員体制を維持しようとした時期である。同社は、機密データを扱う者に対する国防総省の市民権要件を考慮し、同省の担当者が懸念していた外国人従業員の問題を解決するため、この「エスコート」制度を開発した。

政府規制に精通していることから「FedRAMPの達人」と呼ばれるマイクロソフトの上級プログラムマネージャー、インディ・クロウリーがこの構想の策定に重要な役割を果たした。国防総省当局者がマイクロソフトのグローバルな従業員が機密データを扱う可能性について懸念を表明した際、仮想エスコートの採用が「最も抵抗の少ない道」として浮上したと、彼はプロパブリカに語った。

初期の報道は国防総省システムにおけるマイクロソフトの中国支援利用に焦点を当てていたが、その後の調査でこの慣行が軍事用途をはるかに超えていることが明らかになった。同社は中国拠点の従業員を含むグローバルな人材を活用し、複数の連邦省庁・機関のクラウドシステムを維持管理している。

プロパブリカが明らかにしたところによると、マイクロソフトは長年にわたり、中国拠点の従業員を含むグローバルな労働力を活用し、司法省、財務省、商務省の一部を含む他の連邦省庁のクラウドシステムを維持してきた。

この作業は、 政府コミュニティクラウド（GCC）と呼ばれるプラットフォーム内で実施された。GCCは機密扱いでないものの、それでも機微な情報を扱うために設計されたプラットフォームである。政府基準によれば、これには「機密性、完全性、可用性の喪失が、機関の業務、資産、または個人に深刻な悪影響をもたらす」データが含まれる。

GCCの使用例としては、具体的には以下のようなものがある：

• 司法省の反トラスト局が刑事・民事調査および訴訟機能のためにプラットフォームを利用している
• 環境保護庁の一部がGCCサービスを利用している
• 教育省がプラットフォーム上でシステムを維持している

この外国によるアクセス範囲の拡大は、サイバーセキュリティ専門家らを警戒させている。彼らは、機密指定されていない政府データでさえ、外国の敵対勢力にとって貴重な情報源となり得ると警告している。

デジタル護衛システムにおいて最も懸念される点の一つは、米国の護衛要員と彼らが監督すべき中国人の技術者との間に存在する技術的専門知識の著しい格差である。このスキルギャップは根本的な脆弱性を生み出し、専門家によれば、この体制のセキュリティ前提全体を損なうと指摘されている。

「彼らの行為が悪意のあるものではないと信じているが、実際のところは判断できない」と、職業上の影響を恐れ匿名を条件に発言を承諾した現役のエスコートは語った。

問題は構造的かつ意図的なものである。マイクロソフトは、エスコートが主にデータ処理手順の順守を確保するためのものであり、技術的監視を提供するためのものではないことを認めている。エスコートシステムの開発に携わった元マイクロソフトエンジニア、マシュー・エリクソンは「もし誰かが『fix_servers.sh』というスクリプトを実行したが、実際には悪意のある動作をした場合、[エスコート]は全く気付かないだろう」と説明した。

護衛要員の募集はこうした限定的な期待を反映している。マイクロソフトの契約業者は2025年1月、時給18ドルで護衛要員を募集する広告を掲載したが、主な要件は技術的専門知識ではなく国防総省のセキュリティクリアランスであった。

「人々がこれらの仕事を得ているのは、（セキュリティ）クリアランスがあるからであって、優秀なエンジニアだからではない」と、匿名での発言に同意したインサイト・グローバル社のエスコート担当者は語った。

この取り決めにより、マイクロソフトの支援チームは毎月、中国に拠点を置くエンジニアや開発者との数百件のやり取りに対応しており、実質的に外国の技術指示を連邦ネットワークへ導く経路として機能している。しかし、実質的な監視能力は備えていない。

マイクロソフトのアプローチに内在する脆弱性は、2025年7月に中国政府が支援するハッカーが同社の広く利用されている共同作業ソフトウェア「SharePoint」の脆弱性を悪用したことで、露呈した。この攻撃により、国家核安全保障局（NNSA）や国土安全保障省（DHS）を含む数百の企業や政府機関が被害を受けた。

この事件を特に懸念させるものとなったのは、プロパブリカがその後、 SharePointのサポートが中国に拠点を置くエンジニアリングチームによって行われており、同チームが長年このソフトウェアの保守を担当してきた事実を明らかにしたことである。

SharePoint攻撃のタイムラインは、セキュリティ課題の複雑さを明らかにしている：

• 中国のハッカーは、早くも2025年7月7日からSharePointの脆弱性を悪用し始めた。
• マイクロソフトは7月8日にパッチを公開したが、ハッカーはこれを回避した
• その後、同社は「より強固な保護機能」を備えた新たなパッチをリリースした。
• これらの脆弱性により、ハッカーは「ファイルシステムや内部設定を含むSharePointコンテンツへの完全なアクセス権を取得し、ネットワーク経由でコードを実行することが可能」となった。

マイクロソフトの中国拠点のSharePointチームが攻撃に関与した証拠はないものの、この偶然の一致は、米国の敵対勢力が同時に攻撃しているソフトウェアを中国人スタッフが保守していることによる潜在的なリスクを浮き彫りにした。

国家安全保障およびサイバーセキュリティの専門家らは、この事実の暴露に懸念を表明しており、多くの専門家がこのような取り決めが存在したこと自体に驚いている。バイデン政権下で国家サイバーディレクターを務めた元CIA・NSA上級幹部ハリー・コーカー氏はプロパブリカに対し、デジタル護衛システムは諜報活動にとって明らかな機会を提供すると述べた。

「もし私が工作員なら、それを極めて貴重な情報入手経路と見なすだろう。我々はその点に非常に警戒すべきだ」と、CIAと国家安全保障局（NSA）の上級幹部を務めたハリー・コーカーは述べた。

懸念は、この仕組みの技術的現実と、中国におけるデータ収集を規制する法的枠組みの両方に根ざしている。イェール大学ロースクールのポール・ツァイ中国センター上級研究員ジェレミー・ダウムは、中国の法律では政府当局者が「正当とみなされる行為を行っている限り」データを収集できると説明した。 同氏は「治安部隊や法執行機関からの直接的な要求に対して、中国の市民や企業が実質的に抵抗することは困難だろう」と指摘した。

元連邦サイバーセキュリティ担当官で、現在はSailPointの最高情報セキュリティ責任者を務めるレックス・ブース氏は、リスクが従来の機密情報に関する懸念を超えている点を強調した：

クラウドサービスに膨大なデータが保存され、AIがその分析を迅速に行う力を備えているため、機密扱いでないデータでさえ、米国の利益を損なう可能性のある知見を明らかにしうる。

ハリー・コーカー、元CIAおよびNSA上級幹部

この事実が明らかになったことで、議会と行政機関の両方から迅速な対応がなされました。ピート・ヘグセス国防長官は、この慣行について直ちに調査を開始し、ソーシャルメディアで次のように述べています。

「外国のエンジニア——中国はもちろん、いかなる国からの者であっても——国防総省のシステムを維持管理したりアクセスしたりすることは、決して許されるべきではない。」

超党派の議会が懸念を示し、トム・コットン上院議員（共和党、アーカンソー州）とジャン・シャヒーン上院議員（民主党、ニューハンプシャー州）がヘグセス長官に書簡を送り、マイクロソフトの中国におけるサポート体制に関する詳細情報の提供を要求しました。議会の関心は、サイバー脅威としての中国に対する認識の高まりと、外国への技術依存に関する幅広い懸念を反映しています。

バイデン政権下で国防総省の最高情報責任者を務めたジョン・シャーマン氏は、この調査結果に驚きを示し、「DISA（国防情報システム局）、サイバーコマンド、およびこの件に関与するその他の関係機関による徹底的な見直し」を求めた。

ピート・ヘグセス国防長官、国防総省における外国の技術支援は認めないと発言

自社の慣行が公に暴露されたことを受け、マイクロソフトは直ちに対応策を講じつつ、全体的な方針を擁護した。同社は国防総省のクラウドコンピューティングシステム支援に中国拠点のエンジニアリングチームを今後使用しないことを発表し、他の政府顧客向けにも同様の変更が行われる可能性を示唆した。

マイクロソフトは声明で次のように述べた：「マイクロソフトは先週、国防総省向け政府クラウドサービスのセキュリティ強化に向けた措置を講じました。今後は、政府コミュニティクラウド（GCC）を利用するすべての政府顧客に対し、同様の措置を講じ、データのセキュリティをさらに確保してまいります。」

しかし、同社の対応は疑問を解消するどころか、新たな疑問を多く生み出した。マイクロソフトは、中国サポートチームに代わる体制、デジタルエスコートの継続利用の有無、あるいは他国のエンジニアによるサポート提供の可否について、具体的な説明を避けた。また同社は、今後1か月かけて「追加措置の必要性を評価するための見直しを実施する」とも述べた。

ロバート・E・ラミア4世がUS Cloudの創設者としてこの解決策を提案した。US Cloudはマイクロソフトのエンタープライズソフトウェア向け主要サードパーティサポートプロバイダーである。

マイクロソフトは中国サポートチームを米国クラウドに置き換えるべきです。当社は政府機関の機密保持要件を満たすため積極的に取り組む用意があります——連邦政府のデータ主権および市民権要件を満たすべく、ゼロから構築された企業です。あるいは政府機関が当社と直接契約することも可能です。

SharePointチームに関して言えば、マイクロソフトは中国拠点のエンジニアリングチームの存在を認めたものの、「米国拠点のエンジニアによる監督下にあり、全てのセキュリティ要件およびマネージャーによるコードレビューの対象となっている」と強調した。また「既にこの業務を別の拠点へ移行する作業が進行中である」と述べた。

デジタルエスコートの暴露は、政府関係者やサイバーセキュリティ専門家が懸念するマイクロソフトのセキュリティ問題の広範なパターンに当てはまる。プロパブリカは、マイクロソフトが「顧客のセキュリティよりも企業利益を繰り返し優先してきた」と指摘。過去の事例では、同社が製品欠陥に関する技術者の警告を無視し、後にロシア政府が支援するハッカーが史上最大級のサイバー攻撃の一つでこの欠陥を悪用した。

マイクロソフトの政府向けサポートが中国に外注される前兆として、1年前の2024年、国防総省の調達プログラムマネージャー、プレスコット・ポーリンはLinkedInにこの動画を投稿した。動画では、彼が「勤務時間外に防衛関連アカウントにアクセスできない」問題を抱えた際、マイクロソフトが中国のカスタマーセンターへ転送する様子が映されている。マイクロソフトインシデントサポート追跡ID: 2407040040000430。

エスコート制度自体は、マイクロソフトが連邦政府向けクラウド契約を積極的に獲得していた時期に誕生した。政府のセキュリティ要件を巧みに捌く能力から、主要な設計者の一人は同僚から「FedRAMPの達人」と呼ばれていた。この仕組みにより、マイクロソフトはコスト効率の高いグローバルな人材構造を維持しつつ、連邦政府のセキュリティ要件に対する表面的なコンプライアンスを満たすことが可能となった。

プレスコット・ポーリン、国防総省調達プログラムマネージャー、2024年マイクロソフトサポート中国への外部委託に関する動画

プロパブリカの調査により、マイクロソフト社内およびその請負業者間で、デジタル護衛システムに関する懸念が当初から存在していたことが明らかになった。マイクロソフトのサイバーセキュリティ責任者を含む、この業務に関わった複数の人物が、この仕組みには本質的なリスクがあると同社に警告したが、マイクロソフトは「それでもなお、これを立ち上げ、拡大した」のである。

特に注目すべき事例として、トム・シラーという元インサイト・グローバル契約社員が挙げられる。彼は2024年、国防総省のホットラインに連絡し、複数の連邦議員に書簡を送付してデジタル・エスコートについて警告した。彼の申し立ては最終的に国防情報システム局監察官室に届き、同室は聞き取り調査を実施したものの、調査を継続せず、件をDISA管理部門に差し戻した。

現在のエスコート担当者も懸念を表明している。インサイト・グローバル社の従業員の一人はプロパブリカに対し、「数年にわたり、つい先月の4月にも、マイクロソフト社とインサイト・グローバル社自身の弁護士に対し、知識のギャップについて繰り返し懸念を伝えてきた」と語った。このエスコート担当者は、特に中国の法律が広範なデータ収集権限を認めていること、そしてこれが米国政府ネットワークに及ぼすリスクを強く懸念していると述べた。

マイクロソフトの暴露は、連邦政府がクラウドコンピューティングとIT近代化にどう取り組むかについて、より広範な示唆を与えている。この事件は、過去10年間にわたり政府の技術導入を形作ってきた、コスト効率、技術的専門知識、セキュリティ要件の間の根本的な緊張関係を浮き彫りにしている。

連邦政府がクラウドコンピューティングを採用した主な理由は、コスト削減、効率性向上、最先端技術へのアクセスといった利点にありました。しかし、マイクロソフトの事例は、こうした利点には政府の調達担当者や監督機関にはすぐには明らかにならない隠れたセキュリティコストが伴う可能性があることを示しています。

この状況は、現行の政府監督メカニズムの適切性についても疑問を投げかけている。護衛システムが導入されてからほぼ10年が経過しているにもかかわらず、国防総省の高官でさえその存在を知らなかったようだ。これは、政府機関が自国の技術ベンダーの実態を把握し監視する手法に重大な欠陥があることを示唆している。

政府がマイクロソフトのサポート問題の余波に対処する中、セキュリティ要件とグローバルな技術市場で事業を行う現実とのバランスをどう取るかという根本的な課題が残されている。デジタル護衛システムはこの難題への一つの試みであったが、その明らかな失敗は、より強固なアプローチが必要であることを示唆している。

この事件は、重要技術分野における外国人材への依存度を低減させる政府の取り組みを加速させる可能性があるが、この移行には多大なコストと技術的課題が伴う見込みだ。複雑な政府IT要件に対応できる十分な国内技術能力を構築することは、持続的な投資と政策上の関心を必要とする重大な事業である。

マイクロソフトの事例は、政府の技術契約における透明性の重要性も浮き彫りにしている。これほど重要なセキュリティ協定が、公の認識なくほぼ10年間も運用されていた事実は、現代の複雑な技術サービスの現実に対して、現行の開示要件が不十分である可能性を示唆している。

マイクロソフトが中国籍エンジニアを米国政府システム支援に起用した事例は、重要技術インフラにおいて効率を安全より優先させた結果生じた予期せぬ帰結の典型例である。同社のデジタルエスコートシステムは連邦政府のセキュリティ要件の形式的要件を満たしていたかもしれないが、高度な敵対者が悪用し得る脆弱性を生み出すことで、その精神に反する結果を招いたように見える。

マイクロソフト、議会、行政機関からの迅速な対応は、地政学的な現実とサイバー脅威の進展を踏まえ、現行の体制が維持不可能であるとの認識を示唆している。しかし、政府のIT機能を維持しつつこれらのシステムを置き換える課題には、綿密な計画と多大な資源が必要となるだろう。

米国が中国と技術・サイバー能力で競争を続ける中、マイクロソフトのサポート問題の発覚は、重要システムの設計においてセキュリティを後回しにすべきでないという厳しい教訓となった。サイバーセキュリティ対策の失敗がもたらす代償——漏洩したデータ、損なわれた国家安全保障、失われた国民の信頼——は、サプライチェーンのセキュリティ要件を軽視することで得られる短期的な節約効果をはるかに上回る。

この状況の最終的な解決は、ますます複雑化するグローバル市場において、政府が技術ベンダーの監督やセキュリティ要件にどう取り組むかについて重要な先例となる可能性が高い。米国のデジタルインフラの健全性は、これらの判断を正しく行うことに依存しているため、その重要性は極めて大きい。