Benchmarks Brawte nfaq 0 Comments

上院議員、米国の病院を乗っ取るのに役立った「危険で安全でないソフトウェア」についてマイクロソフトを非難

Table of Contents

上院議員、米国の病院を乗っ取るのに役立った「危険で安全でないソフトウェア」についてマイクロソフトを非難

ロン・ワイデン米上院議員が、レドモンド社が「危険で安全でないソフトウェア」を出荷し、サイバー犯罪者が米国最大の病院ネットワークの一つを麻痺させるのを助けたと非難したことで、マイクロソフトは再び非難の的となっている。

Microsoft Officeのアイコンの前で肩をすくめる詐欺師の漫画風構成

マイクロソフト、セキュリティの失敗で米国政府との新たな契約を獲得

続きを読む

9月10日にFTCのアンドリュー・ファーガソン委員長に届けられたワイデン氏の書簡[PDF]は、マイクロソフトを単なる不注意なベンダーとしてではなく、国家安全保障に対する脅威として描いている。

「FTCはマイクロソフトを調査し、米国政府や米国の医療部門などの重要インフラ組織に危険で安全でないソフトウェアを提供したことにより同社が引き起こした重大な損害について責任を問うよう強く求める」とワイデン氏は書いた。

「タイムリーな対応がなければ、マイクロソフトのサイバーセキュリティに対する怠慢な文化と、企業向けオペレーティングシステム市場の事実上の独占状態が相まって、深刻な国家安全保障上の脅威となり、さらなるハッキングが避けられなくなるだろう。」

この事件は、全米で140以上の病院を運営するカトリック系の非営利団体Ascensionに対する昨年のランサムウェア攻撃に端を発しています。ワイデン議員事務所がAscensionから入手した新たな情報によると、契約社員が会社のノートパソコンを使用してBing検索を行い、悪意のある検索結果をクリックしたことで、デバイスにマルウェアがダウンロードされました。その後、攻撃者はMicrosoftのデフォルト設定に存在する既知の脆弱性を悪用し、権限を昇格させ、ネットワークを横断的に移動して、数千台のマシンにランサムウェアを配布しました。

この攻撃により手術は中断され、医師や看護師は再び紙とペンに頼らざるを得なくなり、およそ560万人の患者の個人情報や医療データが盗まれた。

ワイデン氏は、今回の侵害の主要因として、「Kerberoasting」として知られる数十年前の脆弱性を指摘しています。この攻撃は、マイクロソフトがデフォルトの暗号化アルゴリズムとしてRC4を使用し続けているという事実を悪用しています。RC4はセキュリティ研究者が長年警告してきた選択肢です。AESなどより安全な選択肢が存在するにもかかわらず、レドモンドはRC4への切り替えを行っておらず、ワイデン氏はこの決定が「顧客をランサムウェアなどのサイバー脅威に不必要にさらす」と主張しています。

同氏は、マイクロソフトは何年も前からこの問題を認識していたものの、断固たる対応を怠ってきたと述べ、RC4をデフォルトで無効化するパッチが発表から1年近く経っても未だに提供されていないことを指摘した。また、マイクロソフトがセキュリティガイダンスを金曜日の目立たないブログ記事に埋もれさせ、顧客に積極的に警告を発していなかったことを批判した。

  • 腎臓透析大手のDaVitaは、240万人がランサムウェアによるデータ盗難の悪夢に巻き込まれたと発表
  • 国防総省、国防総省のクラウドサービスにおけるマイクロソフトの中国拠点サポートスタッフの利用を終了
  • 驚きだ、驚きだ:中国のスパイ、IP窃盗犯、その他の悪意のある人物がMicrosoft SharePointサーバーを攻撃
  • マイクロソフトはデータ主権を「保証できない」と認める

火に油を注ぐように、ワイデン氏はマイクロソフトのデフォルト設定がユーザーに不利に働いていると主張した。パスワードポリシーは、Kerberosting攻撃に対抗するために必要な長く複雑なパスワードを強制しておらず、多くの顧客は手遅れになるまでリスクに気付いていない。ワイデン氏は書簡の中で、この巨大ソフトウェア企業がセキュリティよりも利益を優先していると非難し、「資金力のある組織にサイバーセキュリティのアドオンサービスを販売する数十億ドル規模の副業」を構築していると主張し、マイクロソフトを「被害者に消火サービスを販売する放火犯」に例えた。

ワイデン上院議員は、2023年に起きた中国スパイとみられる人物による米国政府のメールアカウントへのハッキング事件を想起し、マイクロソフトの行動をあるパターンの一つだと指摘した。連邦調査委員会は、この事件を同社の「不十分な」セキュリティ文化のせいだと非難した。マイクロソフトはエンタープライズOS市場を独占しているため、同社の決定は政府機関や重要インフラ全体のセキュリティの基準を定めており、同社の失敗はすべての人を危険にさらすとワイデン議員は警告した。

ワイデン氏がFTCによる調査を求めたことは、説明責任を強制するための試みである。彼は規制当局に対し、マイクロソフトに対し、安全なデフォルト設定の配布、長らく遅れているRC4アップデートの提供、そして顧客が直面するリスクに関する分かりやすいガイダンスの提供を義務付けることを求めている。FTCがこの件を取り上げれば、重要なサービスを支えるソフトウェアを開発しながらも、誤った理由で繰り返しメディアの見出しを飾るベンダーに対するワシントンの監視方法に、大きな転換点となる可能性がある。

マイクロソフトは、セキュア・フューチャー・イニシアチブの下、数ヶ月にわたり「セキュア・バイ・デザイン」時代の到来を約束してきたが、ワイデン氏の書簡は、レドモンドが変革に真剣に取り組んでいると誰もが確信しているわけではないことを痛烈に思い知らせるものだ。FTCが行動を起こすかどうかによって、これが単なる世間の非難の繰り返しに終わるのか、それともテクノロジー業界で最も影響力のある企業の一つである同社にとって、より深刻な清算の始まりとなるのかが決まるかもしれない。®

Benchmarks

Smart Recommendations

Discover More