オレゴン州選出のアメリカ上院議員ロン・ワイデンは、重要な米国インフラに対するランサムウェア攻撃に関連したサイバーセキュリティの不備について、マイクロソフトを調査するよう連邦取引委員会(FTC)に要請しました。これには、国内最大級の病院システムの一つである2024年のアセンションへのハッキングも含まれます。
ワイデン議員の事務所によると、この侵害は契約業者がBingの検索結果で悪意のあるリンクをクリックしたことから始まり、そのノートパソコンがマルウェアに感染しました。
マイクロソフトのソフトウェアのデフォルト設定により、攻撃者はアセンションのネットワークに管理者権限でアクセスできるようになり、560万人の患者の機微なデータが露出しました。
ハッカーは「Kerberoasting」として知られる手法を悪用しました。これは、マイクロソフトが時代遅れのRC4暗号化標準を引き続きサポートしていることを利用するものです。より安全な暗号化オプションは存在しますが、デフォルトでは有効になっていません。
ワイデン議員のスタッフは2024年7月にこの脆弱性をマイクロソフトに警告したとされています。マイクロソフトは2024年10月にブログ記事でこの脅威について言及し、ソフトウェアアップデートを行う予定だと述べました。しかし、ほぼ1年が経過してもアップデートはリリースされておらず、顧客への直接的な注意喚起も行われていません。
ランサムウェア攻撃の傾向についてさらに読む:教育分野での回復力強化によりランサムウェア支払いが激減
マイクロソフトはエンタープライズ向けオペレーティングシステム市場で圧倒的なシェアを持ち、デフォルトのセキュリティ設定をコントロールしています。
ワイデン議員は、同社のサイバーセキュリティ対応を批判しました。
「迅速な対応がなければ、マイクロソフトの怠慢なサイバーセキュリティ文化と、事実上のエンタープライズOS市場の独占状態が、深刻な国家安全保障上の脅威となり、さらなるハッキングを不可避にします」と、彼は水曜日にFTC宛ての書簡で述べました。
説明責任を求める声
ワイデン議員は、マイクロソフトのサイバーセキュリティ上の不備について、連邦機関に対し繰り返し責任を問うよう求めてきたとされています。
サイバーセーフティレビュー委員会によるものを含む過去の調査では、マイクロソフトのセキュリティ文化は「不十分であり、抜本的な見直しが必要」と結論付けられました。
繰り返される侵害にもかかわらず、ワイデン議員は同社が依然として高額な連邦契約を獲得し続けていると述べました。
「アセンションで起きたことは、単なる一度の誤ったクリックや古い暗号方式の問題ではありません」と、サイバーセキュリティ脅威インテリジェンス企業SOCRadarのCISO、エンサル・セケル氏は述べています。
「これは、デフォルト設定から生じるシステミックなリスクと、マイクロソフトのように広く採用されたソフトウェアエコシステムのアーキテクチャ上の複雑性に関する問題です。」
安全でないソフトウェアの人的コスト
米国でのランサムウェア事件は2024年に急増し、報告された攻撃は5000件を超え、2023年比で15%増加しました。これらの半数は、病院、政府機関、民間企業など米国内の組織を標的としています。
アセンションの事例は、安全でないデフォルトソフトウェアがもたらす潜在的な人的コストを浮き彫りにしており、患者ケアの混乱や機微なデータの危険に直結しています。
ワイデン議員の書簡は、マイクロソフトに対する説明責任を求め、国家安全保障上の脅威となり得るシステミックなサイバーセキュリティの失敗に対してFTCが行動する必要性を強調しています。
画像クレジット:Ahyan Stock Studios / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/wyden-urges-ascension-hack-ftc/