米国上院議員ロン・ワイデンは、連邦取引委員会(FTC)に対し、マイクロソフトに対する調査を行い、米国の重要インフラ、特に医療ネットワークへのランサムウェア攻撃を可能にした「重大なサイバーセキュリティの怠慢」に対して責任を問うよう要請しました。
「迅速な対応がなければ、マイクロソフトのサイバーセキュリティに対する怠慢な企業文化と、企業向けオペレーティングシステム市場の事実上の独占が、深刻な国家安全保障上の脅威となり、さらなるハッキングを不可避にします」とワイデン氏はFTC委員長アンドリュー・ファーガソン宛の4ページにわたる書簡で述べ、レドモンド(マイクロソフト本社)を「被害者に消火サービスを売る放火犯」に例えました。
この動きは、ワイデン議員の事務所が医療システムAscensionから新たな情報を入手したことを受けてのものです。Ascensionは昨年、壊滅的なランサムウェア攻撃を受け、約560万人に及ぶ個人および医療情報が盗まれる事態となりました。
電子カルテへのアクセスも妨害されたこのランサムウェア攻撃は、Black Bastaと呼ばれるランサムウェアグループによるものとされています。米国保健福祉省によると、この侵害は過去1年間で3番目に大きな医療関連インシデントと位置付けられています。
議員事務所によれば、この侵害は、契約業者がマイクロソフトのBing検索エンジンでウェブ検索を行った後、悪意のあるリンクをクリックしたことで発生し、そのシステムがマルウェアに感染しました。その後、攻撃者はマイクロソフトソフトウェアの「極めて危険なデフォルト設定」を利用し、Ascensionネットワークの最も機密性の高い部分へのアクセス権を獲得しました。
これには、Active Directoryから暗号化されたサービスアカウントの認証情報を抽出するためにKerberos認証プロトコルを標的とするKerberoastingと呼ばれる手法が使われました。
Kerberoastingは「1980年代に開発された『RC4』として知られる安全でない暗号化技術を悪用しており、これは現在もマイクロソフトのソフトウェアでデフォルト設定としてサポートされています」とワイデン議員事務所は述べ、2024年7月29日にマイクロソフトに対し、この脅威について顧客に警告するよう要請したと付け加えました。
RC4(Rivest Cipher 4の略)は、1987年に開発されたストリーム暗号です。当初は企業秘密とされていましたが、1994年に公開フォーラムで流出しました。2015年以降、エンジニアリングタスクフォース(ETF)は、平文復元を可能にする「さまざまな暗号上の脆弱性」を理由にTLSでのRC4の使用を禁止しています。
最終的にマイクロソフトは2024年10月に、ユーザーが保護されるための手順を説明する警告を発表し、今後のWindows 11 24H2およびWindows Server 2025のアップデートでRC4サポートを廃止する予定であることも明らかにしました。
Kerberoastingに最も脆弱なアカウントは、弱いパスワードを使用しているものや、特にRC4のような弱い暗号化アルゴリズムを使用しているものです。RC4は、パスワードを暗号鍵に変換する際にソルトや繰り返しハッシュを使用しないため、サイバー攻撃者がより多くのパスワードを迅速に推測できるため、サイバー攻撃に対してより脆弱です。
しかし、他の暗号化アルゴリズムでも弱いパスワードが使用されている場合は依然として脆弱です。ADはデフォルトでRC4を使用しようとはしませんが、RC4は現在デフォルトで有効になっているため、サイバー攻撃者はRC4で暗号化されたチケットのリクエストを試みることができます。RC4は廃止され、今後のWindows 11 24H2およびWindows Server 2025のアップデートでデフォルトで無効にする予定です。
マイクロソフトは、今年2月にWindows Server 2025およびWindows 11バージョン24H2のKerberosでデータ暗号化標準(DES)サポートを削除しましたが、Server 2025ではKerberos配布センターがRC4暗号化(RC4-HMAC(NT)など)を使用したチケット発行を防ぐセキュリティ強化も導入したと述べています。
マイクロソフトがKerberoasting対策として推奨する主な緩和策は以下の通りです:
- 可能な限りグループ管理サービスアカウント(gMSA)や委任管理サービスアカウント(dMSA)を使用する
- サービスアカウントにはランダムに生成された14文字以上の長いパスワードを設定して保護する
- すべてのサービスアカウントがKerberosサービスチケット暗号化にAES(128ビットおよび256ビット)を使用するように設定されていることを確認する
- サービスプリンシパル名(SPN)を持つユーザーアカウントの監査を行う
しかしワイデン氏は、マイクロソフトのソフトウェアは特権アカウントに14文字以上のパスワード長を強制しておらず、またRC4という安全でない暗号化技術の継続的なサポートが、攻撃者に特権アカウントのパスワードを解読させることで、顧客を不必要にランサムウェアや他のサイバー脅威にさらしていると指摘しました。
The Hacker Newsはマイクロソフトにコメントを求めており、返答があれば記事を更新します。なお、今回がマイクロソフトのサイバーセキュリティ慣行が非難された初めてのケースではありません。
昨年発表された報告書で、米国サイバー安全審査委員会(CSRB)は、Storm-0558として知られる中国の脅威アクターが、マイクロソフトExchange Onlineの22組織および世界中の500人以上のメールボックスを侵害するのを防げたはずの一連の回避可能なミスについて、同社を厳しく非難しました。
「結局のところ、マイクロソフトのひどいサイバーセキュリティ実績は、同社の市場支配力と、政府機関が一連のセキュリティ失敗に対して何も行動を起こさなかったことにより、同社の有利な連邦契約に何の影響も与えていません」とワイデン議員事務所は主張しています。
「この書簡は、企業のサイバーセキュリティにおける長年の緊張、すなわちレガシーシステムのサポートとセキュア・バイ・デフォルト設計のバランスを強調しています」とSOCRadarのCISO、エンサル・セケル氏は述べています。「それは、デフォルト設定から受け継がれるシステミックリスクと、マイクロソフトのような広く採用されているソフトウェアエコシステムのアーキテクチャ的複雑性に関するものです。単一のベンダーが国家インフラの基盤となる場合、そのセキュリティ設計上の決定、あるいはその欠如が連鎖的な影響を及ぼす可能性があります。」
「最終的には、これは一社を非難することではありません。今や国家安全保障が、支配的なITプラットフォームのデフォルト設定と密接に結びついていることを認識することが重要です。企業も公共部門の機関も、よりセキュア・バイ・デフォルトな設定を求め、提供された際にはそれに適応する準備を整える必要があります。」
翻訳元: https://thehackernews.com/2025/09/senator-wyden-urges-ftc-to-probe.html