米国上院議員ロン・ワイデンは、マイクロソフトが製品に十分なセキュリティを提供しなかったことで医療機関へのランサムウェア攻撃を招いたとして、連邦取引委員会(FTC)に調査を要請する書簡を送りました。
議員は正式な要請の冒頭で、マイクロソフトが「重大なサイバーセキュリティの怠慢により、米国の医療機関を含む重要インフラへのランサムウェア攻撃を引き起こした責任を問われるべきだ」と述べました。
議員は、マイクロソフトが製品における十分に記録されたセキュリティリスクを効果的に緩和するための決定的な行動を長期間取らなかったことを強調し、その結果、2024年のアセンション・ヘルスへのランサムウェア侵害などの攻撃が発生し、560万人の患者のデータが侵害されました。
この事件は2024年5月に発生し、契約業者がMicrosoft Edgeで悪意のあるBing検索結果をクリックしたことで、ハッカーが「Kerberoasting」攻撃を実行できるようになりました。
Kerberosは、ユーザーやサービスがパスワードのやり取りなしに身元を確認してネットワークリソースにアクセスできるネットワーク認証プロトコルです。
Kerberoastingは、攻撃者がMicrosoft Active Directoryから暗号化されたサービスアカウントの認証情報を盗むことができる侵害後の手法です。
この手法は、しばしば安全でない、または推奨されなくなったRC4アルゴリズムで暗号化された、弱いまたは推測しやすいパスワードを利用し、容易に入手できるブルートフォースツールで復号される可能性があります。
パスワードを復号した後、攻撃者はそれを使って権限を昇格させ、アセンション・ヘルスの侵害のように、侵害されたネットワーク内を横断的に移動することができます。
議員は、2024年7月に自身のチームがマイクロソフトと話し合い、RC4の代わりにAES 128/256のようなより強力なオプションをデフォルト設定とし、RC4の使用の危険性について顧客に警告するよう同社に強く求めたと述べています。
マイクロソフトは10月にブログ記事で対応しましたが、議員はこれが非常に技術的で、企業内の意思決定者に警告を明確に伝えるものではなかったと指摘しています。
RC4暗号化アルゴリズムは、平文情報を復元できる脆弱性を持つ弱い暗号であるにもかかわらず、Kerberosで依然として選択肢として残されています。
なお、マイクロソフトは製品のセキュリティ強化を約束していますが、RC4は新しい安全なアルゴリズムを受け入れない古いシステムをサポートするためにKerberosに残されています。
ワイデン議員は、マイクロソフトの慣行を深刻な国家安全保障上のリスクと明確に位置づけており、FTCが介入しなければ、さらなる重大な事件が発生するのは確実だと述べています。
「迅速な対応がなければ、マイクロソフトの怠慢なサイバーセキュリティ文化と、企業向けOS市場の事実上の独占状態が相まって、深刻な国家安全保障上の脅威となり、さらなるハッキングを不可避なものにする」 – ロン・ワイデン上院議員
BleepingComputerは、この件に関するコメントをマイクロソフトに求め、広報担当者から以下の声明を受け取りました:
「RC4は古い標準であり、私たちはソフトウェアの設計および顧客向けのドキュメントの両方で、その使用を推奨していません。そのため、RC4は当社トラフィックの0.1%未満しか占めていません。しかし、完全に無効化すると多くの顧客システムが動作しなくなります。」
同社は、顧客に影響を与えずにこのアルゴリズムを段階的に廃止するため積極的に取り組んでおり、RC4の使用を警告するとともに、「可能な限り安全な方法」での利用方法についてもアドバイスを提供しています。
「最終的にはRC4の使用を無効化する計画です。この問題については上院議員の事務所とも協議しており、今後も議員や政府関係者からの質問に耳を傾け、回答していきます」とマイクロソフトの広報担当者はBleepingComputerに語りました。
FTCは、ワイデン議員の要請に対し、現時点で公に回答していません。
