米上院議員、マイクロソフトの “重大なサイバーセキュリティ怠慢 “を非難

ロン・ワイデン米上院議員は、連邦取引委員会（FTC）に対し、自社製品に十分なセキュリティを提供せず、医療機関を狙ったランサムウェア攻撃を引き起こしたとして、マイクロソフト社を調査するよう求める書簡を送った。

同議員はまず、マイクロソフト社は “重大なサイバーセキュリティの怠慢により、米国の医療機関を含む重要なインフラに対するランサムウェア攻撃を引き起こした “として、その責任を追及されるべきであると述べた。

同議員は、マイクロソフトが自社製品の十分に文書化されたセキュリティ・リスクを効果的に軽減するための断固とした行動を長期にわたって取らなかった結果、560万人の患者のデータを危険にさらした2024年のアセンション・ヘルス社のランサムウェア流出事件のような攻撃を引き起こしたことを強調している。

2024年5月に発生したこの事件は、契約者がMicrosoft Edgeで悪意のあるBing検索の結果をクリックし、ハッカーに「Kerberoasting」攻撃を実行させたことから展開しました。

Kerberosはネットワーク認証プロトコルで、パスワードの交換なしに本人確認を行うことで、ユーザーやサービスがネットワークリソースにアクセスできるようにする。

Kerberoastingは、攻撃者がMicrosoft Active Directoryから暗号化されたサービス・アカウントの認証情報を盗むことを可能にする、侵害後のテクニックです。

この手法では、脆弱なパスワードや推測しやすいパスワードを利用します。このパスワードは、安全性が低く非推奨のRC4アルゴリズムで暗号化されていることがあり、入手しやすいブルートフォース・ツールで解読することができます。

パスワードを解読した後、攻撃者はそのパスワードを使って特権を昇格させ、Ascension Healthの情報漏えいのケースのように、侵害されたネットワーク上で横方向に移動することができる。

上院議員によると、彼のチームは2024年7月にマイクロソフトと話し、AES 128/256のようなより強固なオプションの代わりにRC4を使用することの危険性を顧客に警告し、後者をデフォルト設定にするよう技術大手に求めたという。

マイクロソフトはこれに対し、10月に発表されたブログ記事で反論したが、上院議員は、この記事は高度に技術的であり、企業内の意思決定者に警告を明確に伝えることができなかったと述べている。

RC4暗号化アルゴリズムは、平文情報を復元できる脆弱性を持つ脆弱な暗号であるにもかかわらず、Kerberosのオプションとして残っている。

マイクロソフトが自社製品のセキュリティ強化を約束したことは注目に値する。RC4は、より新しく安全なアルゴリズムを受け入れない古いシステムをサポートするために、Kerberosに存在し続けている。

ワイデン氏は、マイクロソフト社の慣行を国家安全保障上の重大なリスクとして明確に位置づけ、FTCが介入しない限り、よりインパクトの強い事件が起こるだろうと確信している。

マイクロソフト社にこの件に関するコメントを求めたところ、広報担当者から次のような回答があった：

「RC4は古い規格であり、私たちはソフトウェアの設計においても、顧客に対する文書においても、その使用を推奨していません。しかし、RC4の使用を完全に無効にすることは、多くの顧客システムを破壊することになります。

同社は、顧客に混乱を与えることなく、このアルゴリズムを徐々に削除するために積極的に取り組んでおり、それに対して警告を発するとともに、”可能な限り安全な方法で “アルゴリズムを使用するためのアドバイスを提供している。

“我々は最終的にその使用を無効にすることをロードマップに掲げている。マイクロソフトの広報担当者は、「我々はこの問題について上院議員の事務所と関わっており、今後も上院議員や政府関係者からの質問に耳を傾け、回答していく」と述べた。

FTCは、ワイデン氏の要請に対してまだ公式に回答していない。

.ia_ad { background-color：#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border：1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }：0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding：display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color：#line-height: 1.4; font-family：margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color：#border：1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding：width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding：15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}

パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍増加

46％の環境でパスワードがクラックされ、昨年の25％からほぼ倍増。

今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。

ブルーレポート2025を入手する