マイクロソフトに非難集中：上院議員が「放火犯が消火サービスを売る」件でFTC調査を要求

米上院議員ロン・ワイデン氏は、連邦取引委員会（FTC）に対し、重要インフラや医療機関を含む広範なランサムウェア攻撃を可能にした「重大なサイバーセキュリティ上の過失」として、マイクロソフトの調査を正式に要請しました。

オレゴン州選出の民主党議員であるワイデン氏は、FTC委員長アンドリュー・ファーガソン氏宛ての4ページにわたる書簡の中で、マイクロソフトのソフトウェア設計上の決定がランサムウェア攻撃を可能にした経緯を記録しました。

「マイクロソフトは、被害者に消火サービスを売る放火犯のような存在になっている」とワイデン氏は書簡で述べ、同社が中核製品を攻撃に脆弱なままにしつつ、利益の上がるサイバーセキュリティ事業を構築してきたと主張しました。

この書簡では、2024年2月に発生し、560万人分の患者記録が流出したアセンション・ヘルスへのランサムウェア攻撃を詳細なケーススタディとして取り上げ、マイクロソフトのデフォルトのセキュリティ設定が、1台の感染したノートパソコンから組織全体への侵害を可能にしたことを示しました。

たった1クリックで病院システムが停止

アセンションへの攻撃は、アセンションのノートパソコンを使用していた外部業者が、Microsoft Bingの検索結果から悪意のあるリンクをクリックしたことから始まりました。マルウェアはアセンションのネットワーク内を横断的に拡散し、最終的には組織のMicrosoft Active Directoryサーバーの管理者アカウントが侵害されました。

ハッカーは「Kerberoasting」と呼ばれる手法を悪用しました。これは、マイクロソフトが依然としてデフォルトでサポートしているRC4暗号化（1980年代の技術で、連邦機関が10年以上前から警告していたもの）を利用するものでした。

「アセンションのケースでまさに起きたのは、1つの弱いデフォルト設定がランサムウェア災害へと雪だるま式に拡大したことです」とGreyhound Researchの主席アナリスト兼CEO、サンチット・ヴィル・ゴギア氏は述べています。

「マイクロソフトによる危険なソフトウェア設計上の決定が、同社が企業や政府の顧客にほとんど公開してこなかったものであるため、病院や他の組織の一個人が誤ったリンクをクリックするだけで、組織全体がランサムウェア感染に陥る可能性がある」とワイデン氏は書簡で述べました。

失敗の背後にある技術的現実

セキュリティ専門家は長年、マイクロソフトの時代遅れの暗号化標準への依存を批判してきました。「RC4はとっくに廃止されるべきだったが、いまだにActive Directoryに潜み、Kerberoastingのような攻撃を可能にし続けている」とゴギア氏は指摘します。

マイクロソフトの言い分は、後方互換性への懸念に基づいていました。「マイクロソフトの主張は、一晩でRC4を無効化すると古いシステムが動かなくなる可能性がある、というものです」とゴギア氏は説明します。「それは事実かもしれませんが、10年以上も警告が続いた今となっては、その主張を維持するのはますます難しくなっています。」

ワイデン氏は、「マイクロソフトが古くて安全でないRC4暗号化技術を継続してサポートしていることが、企業ネットワーク内のどのコンピュータにもアクセスしたハッカーが、管理者が使用する特権アカウントのパスワードを解読できるようにし、顧客を不必要にランサムウェアやその他のサイバー脅威にさらしている」と詳述しました。

200億ドル規模のセキュリティ事業

マイクロソフトのセキュリティ部門は現在、年間200億ドル以上を生み出しており、その多くは同社の中核製品のギャップを埋める機能から得られています。「多くの人が中核製品の一部だと思っていた高度なログ機能などは、Exchange Onlineのハッキング事件でマイクロソフトがアクセス範囲を拡大するまで、プレミアムライセンスの背後に隠されていました」とゴギア氏は指摘します。

ワイデン氏は「顧客に安全なソフトウェアを提供する代わりに、マイクロソフトはサイバーセキュリティの追加サービスを購入できる組織に対し、数十億ドル規模の二次的ビジネスを構築してきた」と主張しました。

これにより、企業顧客が「二重請求」と表現する問題が生まれました。「だからこそCIOたちは、プラットフォームの料金と安心のための追加料金で二重に請求されていると感じているのです」とゴギア氏は述べました。

ワイデン氏はこの状況を鋭く批判し、「現時点でマイクロソフトは、被害者に消火サービスを売る放火犯のような存在になっている」と述べました。

反故にされた約束と規制圧力

ワイデン氏のスタッフが2024年7月にKerberoastingの脅威についてマイクロソフトの幹部に説明した際、書簡によれば「マイクロソフトが経営幹部にも分かる平易な英語で、深刻かつ回避可能なサイバーリスクについて明確なガイダンスを公開・周知するよう、特に要請した」といいます。

しかしマイクロソフトの対応は不十分で、「同社ウェブサイトの目立たない場所に、金曜午後に高度に技術的なブログ記事としてガイダンスを掲載」しただけでした。また、RC4暗号化を無効化するソフトウェアアップデートの提供も約束しましたが、11か月経った今も「マイクロソフトは約束したセキュリティアップデートをまだリリースしていない」とワイデン氏は指摘しました。

規制上の影響は依然不透明です。「デフォルト設定の弱さを理由にFTCがマイクロソフトに本格的な訴訟を起こす可能性は、まだ低いように感じます」とゴギア氏は述べました。しかし「昨年のサイバー安全審査委員会の報告書が状況を複雑にしています。同委員会は、マイクロソフトのセキュリティ文化が不十分であり、政府のメール侵害において回避可能なミスを犯したと非難しました」とも指摘しています。

CISOたちが今していること

企業のセキュリティ責任者たちは、マイクロソフトや規制当局の対応を待っていません。「CISOたちはすでにワイデン氏の指摘が正しいものとして行動しています」とゴギア氏。「RC4を手動で無効化し、サービスアカウントのパスワードを長くすることを義務付け、全社的に多要素認証を推進しています。」

組織は調達契約を交渉材料として活用するケースが増えています。「契約には、構成レポートや基本的な保護策を求める条項が盛り込まれ始めています」とゴギア氏は述べました。「場合によっては、これらの条件が満たされなければワークロードの移行を検討するという脅しもあります。」

業界全体への影響

ワイデン氏の調査の影響は、ソフトウェア業界全体のセキュリティへの取り組み方を変える可能性があります。「ワイデン氏の懸念が広まれば、その影響はマイクロソフトにとどまりません」とゴギア氏。「安全でないデフォルト設定を過失とみなすようになれば、ソフトウェアの開発や販売のあり方が変わるでしょう。」

ワイデン氏は厳しい警告で締めくくりました。「マイクロソフトは、その危険なソフトウェアによって可能になったランサムウェアの猛威を止めることも、遅らせることすらも全くできていません」と述べ、「マイクロソフトのサイバーセキュリティに対する怠慢な企業文化と、事実上のエンタープライズOS市場の独占が、深刻な国家安全保障上の脅威となり、さらなるハッキングを不可避にしている」と警告しました。

ゴギア氏はこうまとめました。「アセンションの侵害は、業界全体の結束点となりました。たった1つの見落とされた設定で業界全体が停止する可能性があるため、もはやデフォルト設定は信用されていません。」

マイクロソフトはコメントの要請にすぐには応じませんでした。