ワイデン上院議員はFTCに「深刻なサイバーセキュリティ過失」に関するMicrosoftの調査を推し進めた。

ジャカルタ - 米国民主党上院議員のロン・ワイデン氏は9月 10日水曜日、連邦取引委員会(FTC)に対し、近年の一連の注目を集めたサイバーセキュリティインシデントにおけるマイクロソフトの役割について「調査し、責任を問う」よう求めた。FTCのアンドリュー・ファーガソン会長に宛てた書簡で、ワイデン氏は、マイクロソフトのサイバーセキュリティへのアプローチを「深刻なサイバーセキュリティ過失」のために「米国の国家安全保障を脅かし続けている」と呼んだ。

ワイデン氏は、米国の保健機関を含む重要なインフラストラクチャに対するランサムウェア攻撃を強調し、これはWindowsオペレーティングシステムのデフォルト設定によって部分的に引き起こされます。

「現在、マイクロソフトは被害者に消防サービスを販売するバーナーのようなものです」とWidenは書いています。彼はまた、マイクロソフトが同社のIT部門で独占に近づいているという優位性に言及し、政府や他の企業は自社製品を使用する以外に「選択肢がない」。

FTCのスポークスマンは、ワイデンの書簡を受け取ったことを確認したが、それ以上のコメントは控えた。

Widenは、2024年5月にアスセンション病院の運営者に対するランサムウェア攻撃の例を挙げ、同社は約560万人から医療および保険データを漏らしたと述べた。Ascensionによると、この攻撃は、請負業者がAscensionラップトップを使用し、MicrosoftのBing検索エンジンからの悪意のあるリンクをクリックした後に発生しました。このリンクにより、ハッカーは会社のネットワークにアクセスでき、最終的にユーザーアカウントを管理するために使用されるMicrosoft Active Directoryサーバーにアクセスできます。

Widen氏によると、RC4やデフォルトの構成設定などの時代遅れの暗号化技術に対するMicrosoftのサポートにより、アセンションケースのように攻撃が容易になります。彼はまた、マイクロソフトが脅威を減らす方法について企業を教育するのに十分ではないと評価した。

マイクロソフトの広報担当者は水曜日に、Widenと呼ばれる暗号化基準RC4は時代遅れであり、「トラフィックの0.1%未満」しか占めていないと述べた。同社はRC4を使用しないように顧客に勧めていますが、完全に無効にすると顧客のシステムに干渉する可能性があります。

マイクロソフトは、2026年第1四半期から一部のWindows製品でRC4をデフォルトで無効にする予定であり、既存のシステムに「追加の緩和策」を提供すると広報担当者は述べた。

以前、Widenは、2023年7月に中国関連のハッカーが数千人の米国当局者の電子メールを盗んだことが明らかになった後を含め、サイバー攻撃におけるMicrosoftの役割に関する米国政府の調査も奨励していました。