ワイデン上院議員、ランサムウェアの脆弱性をめぐりマイクロソフトへのFTC調査を要求
ロン・ワイデン上院議員は、医療サービス提供会社アセンションへのランサムウェア攻撃を受けて、連邦取引委員会(FTC)に対し、マイクロソフトの「重大なサイバーセキュリティ過失」を理由に調査を正式に要請した。ワイデン議員の懸念は、マイクロソフトのデフォルトのソフトウェア設定が、重要インフラネットワークを攻撃にさらしたとされる点に集中している。
目次
きっかけ:アセンション違反と技術的脆弱性
- インシデント概要:昨年、大手医療システムであるAscensionは、 Black Bastaと呼ばれるグループによるランサムウェア攻撃を受け、約560万人に影響を及ぼしました。この攻撃では、データの盗難に加え、電子医療記録の混乱も発生しました。
- 初期経路: Ascension社の契約社員が、MicrosoftのBing検索エンジンで発見された悪意のあるリンクをクリックしました。このクリックが連鎖反応を引き起こし、攻撃者はMicrosoftソフトウェアの安全でないデフォルト設定を悪用することができました。
- デフォルトのソフトウェア脆弱性:上院議員の書簡によると、Microsoftのソフトウェアには危険なほど安全性の低いデフォルト設定が含まれているとのことです。重要な問題の一つは、Kerberos認証プロトコルにおけるRC4暗号化のサポートです。RC4は、暗号研究によって安全性が低いと判断されたレガシー暗号です。多くの最新システムでは非推奨となっているにもかかわらず、Microsoftの場合にはデフォルトで有効のままでした。そのため、攻撃者はKerberoastingと呼ばれる手法を用いて、Active Directoryからサービスアカウントの資格情報を取得することができました。
技術的な詳細: Kerberoasting、デフォルトの暗号、および悪用可能な脆弱性
- Kerberosローストの解説: Active Directory環境では、サービスプリンシパル名(SPN)を持つサービスアカウントがKerberosチケットを要求します。これらのチケットがRC4などの弱い暗号で暗号化されている場合、攻撃者はチケットを入手し、オフライン攻撃(ブルートフォース攻撃や暗号解読など)を実行して、サービスアカウントの平文の資格情報や秘密情報を復元できます。今回のケースでは、ワイデン氏の事務所は、侵害にはこれらのRC4で保護されたチケットが利用されたと主張しています。
規制と政策に関する申し立て
- ワイデン上院議員の批判は、単一の情報漏洩にとどまらない。FTCのアンドリュー・ファーガソン委員長宛ての4ページにわたる書簡の中で、彼はマイクロソフトが組織的な問題を抱えていると指摘し、エンタープライズOSにおける同社のほぼ独占状態によって「サイバーセキュリティを軽視する文化」が悪化していると指摘している。ワイデン議員は鋭い比喩を用いて、マイクロソフトを「被害者に消火サービスを売る放火犯」に喩えている。
- この書簡は、マイクロソフトのデフォルト設定(例えば、デフォルトで有効になっている、安全性の低いレガシー暗号化、緩いパスワードポリシー)が、多くの組織、特に医療や重要インフラの組織において、時間の経過とともに基本的な保護を弱めてきたと主張しています。つまり、デフォルト設定や設定における不注意は、ITの問題だけでなく、国家安全保障上の懸念事項でもあるということです。
マイクロソフトの対応
- RC4は時代遅れであり、Microsoftは「ソフトウェアの開発および顧客向けドキュメントにおいて」RC4の使用を推奨していないことを認めています。同社は、トラフィックの0.1%未満が依然としてRC4を使用していると主張しています。しかし、MicrosoftはRC4を直ちに完全に無効化すると、既存の環境との互換性に問題が生じる可能性があるという懸念も表明しています。
セキュリティリスク評価
- 攻撃対象領域と連鎖的な影響:ソフトウェアベンダーがデフォルトで脆弱な暗号化や脆弱なパスワードポリシーを許容している場合、攻撃者にとって「格好の標的」となります。セキュリティ意識の高いシステム管理者であっても、継続性とレガシー互換性が重視される環境では、RC4や脆弱な認証情報を許可する設定をそのまま引き継いでしまう可能性があります。
- 脆弱性攻撃: Kerberoasting攻撃は投機的なものではなく、既知の攻撃であり、文書化されており、複数の侵害インシデントで実際に利用されています。サービスアカウントの認証情報が侵害されると、攻撃者は横方向に移動し、権限を昇格させ、機密資産にアクセスできるようになります。医療現場では、個人の健康データ、IoT医療機器、重要インフラなどがこれに該当します。
- 規制と信頼への影響: Microsoftは多くの重要なインフラストラクチャやエンタープライズ環境に深く組み込まれているため、デフォルトのセキュリティ構成に欠陥があると、専門知識、リソース、または脆弱性を検出するための可視性が不足している組織に、防御の負担が自動的に転嫁されます。その結果、評判の失墜と賠償責任のリスクは甚大になります。
規制上の意味合い
- ワイデン上院議員の告発は、製造物責任、デフォルトの安全設定、そしてベンダーの責任という重要な問題を提起しています。ソフトウェアベンダーは、安全でないデフォルト設定に対してどの程度まで責任を負うべきでしょうか?
- FTCの「不公正または欺瞞的な行為または慣行」を調査する権限のような規制手段は、ソフトウェアセキュリティの怠慢にも適用される可能性があります。Microsoftに過失があったと判断された場合、広く使用されているソフトウェアにおけるデフォルト設定、暗号化標準、パスワード要件の規制方法に関して、先例となる可能性があります。
- より広範な規範的な問題もあります。それは、デフォルトでのセキュリティ確保と、オプションでの選択によるセキュリティ確保です。ワイデン氏の立場は、デフォルト設定はセキュリティを重視し、パスワードの強度を高め、脆弱な暗号化アルゴリズムを非推奨とし、安全な設定をオプションではなく組み込むべきだというものです。
ワイデン上院議員がFTCに宛てた書簡は、サイバーセキュリティ、規制、そして企業の説明責任の重なりを浮き彫りにしています。アセンション社の情報漏洩は単なる一件にとどまりません。広く使用されているソフトウェアのデフォルト設定、脆弱な暗号化規格、そしてレガシーシステムとの互換性が、いかにして重要インフラへの大規模な攻撃を誘発するかを示すケーススタディと言えるでしょう。
マイクロソフトが安全でない暗号の段階的な廃止とガイダンスの公開を開始する中、規制メカニズムがより迅速な変更を要求し、より適切なデフォルト設定を強制し、ベンダーにリスクを助長する責任を負わせるかどうかという重要な疑問が依然として残っています。この問題は、セキュリティ研究者だけでなく、規制当局、企業顧客、そして一般の人々からも綿密に精査される価値があります。