ワイデン上院議員、マイクロソフトのサイバーセキュリティの失敗を批判
近年、マイクロソフトはサイバーセキュリティ対策への取り組みの甘さを痛烈に批判されています。これは、互換性の問題を理由に特定のWindows機能を実装しないことを選択した事件を受けてのことです。この決定は、批判者から「注意不足」と非難されました。ロン・ワイデン上院議員が介入し、連邦取引委員会(FTC)に厳しい書簡を送付したことで事態は悪化しました。この書簡は、マイクロソフトのサイバーセキュリティ対策の甘さと、エンタープライズIT分野における同社の優位性を浮き彫りにしています。
サイバーセキュリティの実践に関する懸念
民主党のワイデン上院議員は、マイクロソフトのサイバーセキュリティにおける怠慢を「甚だしい」と評し、ランサムウェア攻撃の急増に直接的な影響を与えていると主張している。特に医療分野においては、セキュリティ侵害が患者の生命に関わる重大な影響を及ぼしかねないことから、これは深刻な事態である。ワイデン議員は、マイクロソフトがエンタープライズIT市場を強力に支配していることを踏まえると、これは深刻な国家安全保障上の脅威となると主張している。強固なセキュリティを優先するのではなく、サイバー攻撃の被害者にサイバーセキュリティのアドオンやサービスを販売することを中心とした数十億ドル規模のビジネスモデルで利益を上げていると、ワイデン議員はマイクロソフトを非難している。この行為を、ワイデン議員は「放火犯が被害者に消火サービスを販売する」ことに酷評している。
セキュリティ構成のデフォルト
ワイデン上院議員によると、Windowsにはセキュリティ設定が組み込まれているものの、根本的に安全ではないという。ユーザーはこれらの設定をカスタマイズできるものの、多くの人が必要な調整を行わず、脆弱な状態になっている。ワイデン上院議員は、こうした「危険なソフトウェアエンジニアリング上の決定」が企業ユーザーと政府機関ユーザーの両方から隠蔽され、最終的にサイバー脅威のリスクに晒されていると主張している。
ケーススタディ:Ascensionランサムウェア攻撃
上院議員は、非営利の医療提供機関であるAscensionへのランサムウェア攻撃を、こうした脆弱性の顕著な例として挙げました。この攻撃では「Kerberoasting」という手法が悪用され、ハッカーはBingで見つかった悪意のあるリンクを介して請負業者のラップトップに侵入しました。この侵入ポイントを経由することで、攻撃者はネットワークをナビゲートし、管理者権限を取得し、ランサムウェアを展開して、数百万人の患者のデータを侵害することができました。
時代遅れのセキュリティ技術と説明責任
ワイデン上院議員は、今回のセキュリティ侵害の責任の大部分をマイクロソフトに押し付けています。同社が時代遅れのRC4暗号化技術を使い続け、Windowsのデフォルト設定でより安全なAES暗号化を義務付けていないことを指摘しています。マイクロソフトは、ユーザーが14文字以上のパスワードを作成することで攻撃対象領域を縮小できると主張していますが、管理者アカウントに対してはこの重要な要件を強制していません。マイクロソフトは以前、ワイデン上院議員に対しRC4を段階的に廃止すると約束していましたが、いまだにその約束を果たしていません。
FTCの調査を求める
ワイデン氏がFTCに宛てた4ページにわたる書簡は、マイクロソフトのソフトウェアが政府および公共の重要なインフラに及ぼしている有害な影響について、FTCが措置を講じるよう強く求めている。ワイデン氏は、マイクロソフトの事実上の独占状態と安全なソフトウェア開発慣行の欠如について責任を問わない限り、同様の事件が将来発生する可能性が高いと強調している。書簡全文はこちらでご覧いただけます。また、 The Register提供のこちらの記事で、さらに詳しい情報もご覧いただけます。
結論
サイバーセキュリティを取り巻く状況が進化を続ける中、強力で信頼性の高いセキュリティ対策の必要性はますます高まっています。こうした責任を怠れば、企業にとっての経済的負担となるだけでなく、公共の安全を脅かす事態にもつながりかねません。ワイデン上院議員の力強い姿勢は、マイクロソフトのような大手テクノロジー企業の説明責任を確保する上で、規制当局が果たすべき重要な役割を浮き彫りにしています。
コメントを残す