美国国土安全部（Department of Homeland Security，DHS）去年针对微软帐户（MSA）消费者签章金钥外泄事件展开调查，并于本周二（4/2）发布调查结果，指出此一意外事件是可以避免的，并将肇事原因归咎于不重视安全的微软文化，同时建议微软进行根本性的安全改革。

微软是在去年中发现，中国骇客组织Storm-0558利用一个不知如何取得的微软帐户（MSA）消费者签章金钥来伪造身分认证权杖，以存取Outlook Web Access in Exchange Online（OWA）及Outlook.com用户的电子邮件帐户，波及欧美地区的25个政府组织，以及与这些组织有关的个人。由于包括美国商务部长Gina Raimondo、美国驻华大使Nicholas Burns，以及国会议员Don Bacon等美国政府官员的电子邮件帐户都遭到入侵，促使DHS的网路安全审查委员会（Cyber Safety Review Board，CSRB）对此事展开全面性的调查。

CSRB于调查报告中指出，Storm-0558的成功攻击有赖微软一系列可避免的错误，例如微软并非自行发现签章金钥遭骇，而是客户发现异常后向微软提报；在比较其它云端服务供应商的安全措施时，发现微软缺少了某些安全控制；微软于2021年收购一家公司，在允许该公司员工的笔电连结微软企业网路之前，并未侦测到此一笔电已遭骇。

此外，微软在调查之后，于去年9月宣称已得知遭到入侵的根本原因，但其实是错误的，而微软却一直未更新该声明，一直到不断收到CSRB的询问之后，微软才于今年3月更正。

在此一调查期间，CSRB还顺便检视了微软今年1月所揭露的另一起资安意外，发现此一事件甚至允许不同国家级骇客组织存取高度敏感的微软企业电子邮件帐户、原始码储存库及内部系统。

CSRB的结论是，微软上述一系列的操作及策略上的决定，都指向了一种企业文化，亦即不重视企业安全投资与严格的风险管理，并不符合微软在技术生态体系中的中心地位，亦不符合客户对微软保护它们的资料与操作的信任程度，该委员会建议微软制定并公开一个具备具体时间表的计划，针对整个企业及所有产品展开全面性的安全改革。

有鉴于微软产品几乎无所不在，包括用来支援美国国家安全的各种基本服务，也是美国经济及公共健康与安全的基础，使得CSRB要求微软必须展现出最高的安全标准。

此外，CSRB亦建议所有的云端服务供应商及政府合作伙伴采取具体行动，提高安全性并强化可抵御Storm-0558及相关组织发动的各种形式的攻击，包括执行严格与现代化的资安控制，审核日志规范，制定数位身分标准与指南，透明化资安意外与漏洞资讯，打造更有效的受害者通知与支援机制，同时也呼吁美国政府更新安全标准与合规框架。