米国オレゴン州選出のロン・ワイデン上院議員は水曜日、連邦取引委員会(FTC)に書簡を送り、マイクロソフトのサイバーセキュリティ対策の調査と、重大な過失に対する責任追及を求めました。
上院議員によると、マイクロソフトのセキュリティの不備が、医療機関を含む重要インフラ組織へのランサムウェア攻撃を招き、患者ケアを危険にさらし、国家安全保障を脅かしています。
FTC委員長アンドリュー・ファーガソン宛ての書簡(PDF)で、ワイデン上院議員は、マイクロソフトが独占している広く使われているオペレーティングシステム「Windows」が、デフォルト設定のままでは「ランサムウェア感染に非常に脆弱」であると主張しています。
書簡によれば、マイクロソフトは「危険なソフトウェア設計上の決定」を下しており、その多くは企業や政府の顧客から隠されていました。これらの不備により、1人が悪意のあるリンクをクリックするだけで、組織全体がランサムウェアに感染する可能性があります。
まさにこれが2024年5月に医療大手アセンションがハッキングされた際に起きたことだと、上院議員のスタッフは知りました。契約業者がBingの検索結果から悪意のあるリンクをクリックし、ノートパソコンがマルウェアに感染しました。
これにより、ハッカーはアセンションのネットワーク内を横断し、Active Directory(AD)サーバーの管理者権限を取得し、組織内の数千台のシステムにランサムウェアを送り込むことができ、大規模な混乱を引き起こしました。攻撃者はさらに、560万人分の個人情報も盗み出しました。
「FTCの使命は、米国民を欺瞞的かつ不公正なビジネス慣行から守り、公正な競争を促進することです。この使命は、マイクロソフトの過失を調査し、その支配力がサイバーセキュリティ慣行に根本的な影響を与えている市場において、同社の不備に責任を問うことを義務付けています」と上院議員は述べています。
また、上院議員の書簡は、アセンションのADサーバーへのアクセスがKerberoasting(ケルベロス認証プロトコルを標的とした攻撃手法)によって得られたことも示しています。これは、マイクロソフトが数十年前のRC4暗号化アルゴリズムのサポートを続けているために可能となっています。
広告。スクロールして続きをお読みください。
「マイクロソフトが古くて安全でないRC4暗号技術のサポートを続けていることは、企業ネットワーク内のどのコンピュータに侵入したハッカーであっても、管理者が使う特権アカウントのパスワードを解読できるようにし、顧客をランサムウェアやその他のサイバー脅威に不必要にさらしています」とワイデン上院議員は述べています。
2024年10月、上院議員のスタッフから7月に連絡を受けた後、マイクロソフトはKerberoastingに関する技術ブログを公開し、RC4を非推奨にすることを明記しましたが、ADのデフォルト設定を変更しない限り攻撃手法にさらされることを顧客に明確に警告しなかったと書簡は指摘しています。
アセンションのハッキングやKerberoastingは、マイクロソフトのサイバーセキュリティの過失によって引き起こされた問題の長いリストの一例に過ぎないとワイデン上院議員は述べています。7月に明らかになった中国によるSharePointゼロデイの悪用もその一例です。
ワイデン上院議員は、マイクロソフトのサイバーセキュリティの不備が表面化したのは今回が初めてではないことも指摘しています。2023年のMicrosoft Exchange Onlineハッキングに関するCyber Safety Review Board(CSRB)の調査では、侵入がマイクロソフトによる回避可能なミスの結果であったことが明らかになりました。
さらに書簡では、マイクロソフトがソフトウェアにセキュリティを組み込む代わりに、サイバーセキュリティの追加サービスを販売することで数十億ドル規模のビジネスを築いてきたことも指摘しています。
「現時点で、マイクロソフトはまるで放火犯が被害者に消火サービスを売っているようなものです。それでも政府機関や企業、アセンションのような非営利団体は、ハッキング被害に遭った後でも、マイクロソフトの企業向けIT市場での事実上の独占状態のため、同社のソフトウェアを使い続けるしかありません」と上院議員は述べています。
ワイデン上院議員は、FTCに対し、マイクロソフトを調査し、米国政府や医療機関を含む重要インフラ組織に対して提供された安全でないソフトウェアによって引き起こされた深刻な被害について責任を問うよう求めています。
「迅速な対応がなければ、マイクロソフトのずさんなサイバーセキュリティ文化と、企業向けオペレーティングシステム市場の事実上の独占状態が相まって、深刻な国家安全保障上の脅威となり、さらなるハッキングの発生は避けられません」と上院議員は指摘しています。
SecurityWeekは、上院議員の書簡に関するマイクロソフトのコメントを求めてメールを送り、同社から回答があれば本記事を更新します。
「この書簡は、エンタープライズのサイバーセキュリティにおける長年の緊張関係、すなわちレガシーシステムのサポートとセキュア・バイ・デフォルト設計のバランスを浮き彫りにしています。アセンションで起きたことは、単なる1回の誤クリックや古い暗号の問題だけではありません。デフォルト設定や広く採用されたソフトウェアエコシステムの構造的複雑性から生じるシステミックリスクの問題です。単一ベンダーが国家インフラの基盤となった場合、そのセキュリティ設計の決定や不備は連鎖的な影響を及ぼしかねません」とSOCRadar CISOのエンサル・セケル氏は述べました。
「最終的には、これは1社を非難する話ではありません。国家安全保障が、支配的なITプラットフォームのデフォルト設定と密接に結びついていることを認識することが重要です。企業も公共部門機関も、より安全なデフォルト設計を求め、提供された際には柔軟に対応できるよう備える必要があります」とセケル氏は付け加えました。
関連記事: AIサプライチェーン攻撃手法、Google・Microsoft製品で実証
関連記事: ランサムウェアグループ、ハイブリッドクラウドの隙を突き企業攻撃でAzureを完全掌握
翻訳元: https://www.securityweek.com/senator-urges-ftc-probe-of-microsoft-over-security-failures/