- ロン・ワイデン上院議員がマイクロソフトへの調査を要請
- これは特にAscension Healthcareへのランサムウェア攻撃を受けてのもの
- マイクロソフトは「重大なサイバーセキュリティ怠慢」で非難されている
米上院議員のロン・ワイデン氏は、米国の重要インフラに対するランサムウェア攻撃に関連して、FTC委員長に書簡を送り、マイクロソフトの「怠慢なサイバーセキュリティ」について調査を開始するよう促しました。
「私はFTCに対し、マイクロソフトを調査し、同社が米国政府や米国の医療分野などの重要インフラ機関に危険で安全でないソフトウェアを提供したことによる深刻な被害について責任を問うよう求めます」とワイデン氏はFTC委員長アンドリュー・ファーガソン氏への書簡で述べています。
今年初め、Ascension Healthcareがデータ侵害を公表したことで、数百万人が危険にさらされました。この攻撃はおそらくC10pランサムウェアによるものと見られています。
Kerberoasting攻撃
報道によると、ワイデン議員の事務所は新たな情報を入手しました。「このハッキングは、契約業者がマイクロソフトのBing検索エンジンでウェブ検索を行った後、悪意のあるリンクをクリックしたことから始まりました。」
その後、契約業者のノートパソコンがマルウェアに感染し、書簡によれば「マイクロソフトのソフトウェアにおける極めて危険な初期設定が、ハッカーにAscensionのネットワーク内で最も機密性の高い部分への高度な権限アクセスを許す結果となった」とされています。
「迅速な対応がなければ、マイクロソフトの怠慢なサイバーセキュリティ文化と、企業向けオペレーティングシステム市場の事実上の独占状態が、深刻な国家安全保障上の脅威となり、さらなるハッキングを不可避なものにしています。」
この攻撃では「Kerberoasting」と呼ばれる手法が使われたと報じられています。これは1980年代から存在する「RC4」と呼ばれる安全でない暗号技術を悪用するものです。これらは今もマイクロソフトのソフトウェアでサポートされており、ワイデン氏はマイクロソフトがこうした危険性について顧客に警告すべきだと主張しています。
マイクロソフトは現時点で、この脆弱性に対するパッチやアップデートを公開しておらず、顧客への警告も行っていません。
「RC4は古い規格であり、当社はソフトウェアの設計や顧客向けドキュメントの両面でその使用を推奨していません。そのため、当社のトラフィックの0.1%未満しかRC4は使われていません」とマイクロソフトの広報担当者はTechRadar Proに語りました。
「しかし、RC4の使用を完全に無効化すると、多くの顧客システムが動作しなくなります。このため、当社はRC4の利用範囲を段階的に縮小しつつ、強い警告と安全な利用方法のアドバイスを提供しています。最終的にはRC4の使用を無効化する計画です。この問題については上院議員の事務所とも協議しており、今後も政府関係者からの質問に耳を傾け、回答していきます。」
