米国国土安全保障省 (DHS) は、2023 年夏の Exchange Online 侵害を受けて Microsoft のセキュリティ プロトコルに対する批判的な評価を発表し、Microsoft 内のセキュリティ上の欠陥が中国国家支援のハッキング グループ Storm-0558 による攻撃を可能にする状況を生み出したと結論付けました。政府の機密電子メールやデータにアクセスできます。 DHS が発表したサイバー安全審査委員会 (CSRB) による独立したレビューでは、侵入は「防止可能」であることが判明し、Microsoft がエンタープライズ セキュリティに過小投資している懸念すべきパターンであることが浮き彫りになりました。同報告書はまた、Microsoftの公開コミュニケーションにおける欠陥も指摘しており、同社は取締役会からの執拗な調査を受けて、侵害の根本原因を詳述した2023年9月のブログ投稿を2024年3月に改訂しただけであることを強調している。米国政府の電子メールに対する標的型サイバー攻撃では、Microsoft が生成したアクセス トークンを悪用して不正侵入が行われました。この作戦では、中国を拠点とするサイバー脅威グループが侵害された Microsoft 消費者アカウント キーを利用して偽造トークンを作成しました。
