オレゴン州選出のロン・ワイデン上院議員は水曜日、連邦取引委員会(FTC)に対し、マイクロソフトの調査を要請しました。同社のデフォルト設定が顧客を脆弱な状態にし、ランサムウェアやハッキング、その他の脅威の一因となっていると述べています。
これには、2024年のアセンション病院に対するランサムウェア攻撃も含まれており、500万人以上の患者の個人情報、医療データ、支払情報、保険情報、政府発行IDが盗まれる結果となりました。
ワイデン議員は、監督活動の一環としてアセンションおよびマイクロソフトのスタッフに聞き取りや面談を行い、この攻撃が「マイクロソフトのサイバーセキュリティ方針の悪影響を完璧に示している」と述べました。
アセンションはワイデン議員のスタッフに対し、2024年2月、同社のノートパソコンを使用していた契約業者が、デフォルトのウェブブラウザであるMicrosoft EdgeとMicrosoft Bingの検索エンジンを利用したと説明しました。契約業者がフィッシングリンクをクリックしたことでノートパソコンが感染し、アセンションの広範なネットワークに拡大しました。ハッカーは、ユーザーアカウントを管理する別のマイクロソフト製品であるActive Directoryを通じて企業アカウントの管理者権限を取得し、「組織内の他の数千台のコンピューターにランサムウェアを拡散」させました。
ワイデン議員はFTC委員長アンドリュー・ファーガソン宛の書簡の中で、ハッカーがKerberoastingと呼ばれる手法を使い、アセンションのActive Directoryサーバー上の特権アカウントにアクセスしたことを指摘しました。この手法は、数十年前から脆弱で時代遅れとなっている暗号化プロトコルの弱点を突くものです。
「このハッキング手法は、1980年代の安全でない暗号化技術であるRC4を、マイクロソフトがデフォルトで引き続きサポートしていることを利用しています。連邦機関やサイバーセキュリティの専門家、マイクロソフトの専門家自身も含め、10年以上前から危険だと警告してきたものです」とワイデン議員は書いています。
それでも、RC4に依存する組織はKerberoastingによって引き続き被害を受けています。2023年には、サイバーセキュリティ・インフラストラクチャー安全局(CISA)が、医療分野におけるRC4とKerberoastingの悪用について警告しました。1年後、CISA、FBI、国家安全保障局(NSA)も、イランのような外国が同じ手法を使ってアメリカ企業を標的にしていると警告しました。
ワイデン議員は、なぜ同社がRC4のサポートを続けているのか疑問を呈し、「顧客を不必要にランサムウェアやその他のサイバー脅威にさらしている」と述べ、連邦政府の承認を受けたより優れた暗号化技術(AESなど)が存在し、それらの方がマイクロソフトの顧客をより良く保護できたはずだと指摘しました。
マイクロソフトは、14文字以上の長いパスワードを設定することで脅威を軽減できると述べていますが、特権アカウントのデフォルト設定ではそれを必須としていません。
ワイデン議員の書簡に対し、マイクロソフトの広報担当者はCyberScoopに「RC4は古い規格であり、私たちはソフトウェアの設計や顧客向けドキュメントの両方でその使用を推奨していません。そのため、当社のトラフィックの0.1%未満しかRC4は占めていません」と述べました。
「しかし、RC4の使用を完全に無効化すると、多くの顧客システムが動作しなくなります。そのため、RC4の利用範囲を段階的に減らしつつ、強い警告と安全な利用方法のアドバイスを提供しています」と広報担当者は述べています。
ワイデン議員は、2024年にスタッフとの会話の中で、マイクロソフトの幹部がRC4のサポートを終了することに同意したものの、ほぼ1年が経過した現在も実行されていないと記しています。
マイクロソフトの広報部はCyberScoopに対し、2026年第1四半期からActive Directoryインストール時にRC4をデフォルトで無効化する予定だと述べました。また、より広範囲でのRC4無効化も「今後の計画に含まれている」としつつ、具体的な時期は示しませんでした。
しかしワイデン議員の書簡は、この問題の修正におけるセキュリティ負担は一般市民ではなくマイクロソフトが負うべきだと強調しています。
「マイクロソフトはデフォルト設定を選択しており、自動的に有効化されるセキュリティ機能や必須のセキュリティ設定(例:最小パスワード長)も含まれます」とワイデン議員は書き、組織がこれらの設定を変更できるとはいえ、「実際にはほとんどの組織が変更していない」と指摘しました。