米連邦情報セキュリティ管理プログラム（FedRAMP）は、Microsoftの政府向けクラウドサービス「Government Community Cloud High (GCCH)」について繰り返し問題点を指摘していたにもかかわらず、政府からの圧力で承認せざるを得なかったと報告されています。FedRAMPはGCCHのデータフロー図などの詳細情報を要求しましたが、Microsoftは回答に時間がかかり、不完全な情報を提出したため審査が難航しました。さらに2023年にMicrosoftの政府向けクラウドサービスへのハッキング事件が発生し、FedRAMPはGCCHの承認を打ち切る可能性も検討しました。

しかし、司法省関係者からの圧力があり、ロジャース氏が介入して支援を求めた結果、FedRAMPは2024年に再審査を行い、依然としてセキュリティ上の問題があると指摘しながらも承認を発行しました。GCCHの認証取得には政府による継続的な監視が必要になると報告されています。

この件では、テクノロジー企業の要望と政府機関のクラウド移行推進との間で、クラウドセキュリティに関する困難なバランスが見られました。

### IP-KVMに脆弱性が見つかる

セキュリティ企業Eclypsiumによると、GL-iNet、Angeet/Yeeso、Sipeed、JetKVMの4社が提供する合計9個のIP-KVMにそれぞれ異なる脆弱性があり、最も深刻なものでは認証なしでルート権限を取得することが可能になった。

例えば、GL-iNetのComet RM-1には「ファームウェアの真正性検証が不十分」「ルートアクセス」「ブルートフォース攻撃に対する保護が不十分」「認証されていないクラウド接続による安全でない初期プロビジョニング」という4つの脆弱性がある。GL-iNetは一部の脆弱性を修正済みだが、他の2つについては修正計画中だ。

Eclypsiumは、「これらはネットワーク接続デバイスであれば当然実装されているべき基本的なセキュリティ対策」であり、KVMが侵害されるとそれに接続されているシステムも乗っ取られる恐れがあると警告している。Angeet/Yeeso製品の「Angeet ES3 KVM」には認証されていないリモート攻撃者が任意のファイルを書き込むことができる深刻な脆弱性がある。

セキュリティ専門家のHD Mooreは、「KVMが侵害されるとそれに接続されているシステムも乗っ取られる可能性がある」と警告している。そのため、Eclypsiumはネットワーク管理者にIP-KVMの脆弱性をスキャンするよう推奨しており、問題のあるデバイスを特定するためのスキャンツールも公開している。

この問題は、リモートでネットワーク上の機器にアクセスするためのIP-KVMのセキュリティに関する重大な懸念を示唆し、これらのデバイスを使う際には注意が必要となる。