ワイデン米上院議員、マイクロソフトを国家安全保障上の脅威と指摘

ロン・ワイデン米上院議員は最近、FTC委員長宛ての書簡で、マイクロソフト社を「サイバーセキュリティの重大な怠慢」による国家安全保障上の脅威と位置づけた。書簡の中でワイデン氏は、複数の有名なサイバーセキュリティ事件におけるマイクロソフト社の役割について調査を求め、同社のやり方が重要なインフラと米国の国家安全保障を危険にさらしていると主張した。ワイデン氏、マイクロソフトを非難 ワイデン氏は9月10日、FTCのアンドリュー・ファーガソン委員長に宛てた書簡の中で、少なくとも部分的にはウィンドウズ・オペレーティング・システムのデフォルト設定が原因で、ハイテク大手の「重大なサイバーセキュリティの怠慢」が、米国の医療機関を含む重要インフラに対するランサムウェア攻撃につながったと主張した。ワイデン氏は、マイクロソフト社を「被害者に消火サービスを売りつける放火犯」に例え、政府機関やその他の企業は、同社が「企業ITをほぼ独占」しているため、同社の製品を使うしか「選択肢がない」と述べた。ワイデン氏はその代表例として、2024年5月に病院運営会社のアセンション社にランサムウェア攻撃があったことを挙げた。同社によると、この事件では約560万人分の個人医療・保険データが流出したという。同氏は、病院運営会社から、アセンション社のノートパソコンを使っていた契約社員が、マイクロソフト社の検索エンジン『Bing』が提供する悪質なリンクをクリックしたとの報告を受けたと記している。ワイデン氏は、マイクロソフト社が時代遅れの暗号化技術とデフォルトのコンフィギュレーション設定をサポートしていることが、アセンション社の悪用につながったと主張している。同氏はまた、マイクロソフト社はこの脅威を軽減する方法について、まだ企業に対して適切な教育を行っていないと述べた。マイクロソフト社の広報担当者は22日、ワイデン氏が言及した暗号化標準であるRC4は確かに古いが、同社のトラフィックに占める割合は「0.1％未満」であり、顧客にその使用を推奨していないことを確認した。「しかし、RC4の使用を完全に無効にすることは、多くの顧客のシステムを破壊することになる」と広報担当者は述べ、同社は警告とガイダンスを提供するように努めながら、顧客がRC4を使用できる範囲を徐々に狭めている。RC4は、2026年の第1四半期から特定のWindows製品でデフォルトで無効にされ、同社は、既存のデプロイメントに対して「追加の緩和策」を含めるとしている。ワイデン氏は、裁判所システムのサイバーセキュリティ慣行の見直しを要求 ワイデン氏がマイクロソフト社に動き出したのは、ジョン・ロバーツ最高裁長官が連邦裁判所システムのサイバーセキュリティ慣行の包括的な見直しを開始するよう求めた直後のことだ。この要請は、電子事件管理システムに対する重大なハッキングが発生し、この5年間で2回目となる大規模な情報漏洩が発生したことを受けてのものである。最新の情報漏えいは今年6月に記録されたもので、2015年以降、行政機関では標準となっている基本的なセキュリティ対策である多要素認証の導入をついに発表するよう、裁判所に迫っている。ワイデン氏が懸念するように、裁判所のサイバーセキュリティの怠慢は、進行中の捜査や連邦政府の証人に関連する機密情報が外国の敵に悪用される可能性があり、国家安全保障に深刻なリスクをもたらす。事件管理システムにある封印された裁判所提出書類には、国家安全保障の情報源や方法、重要な連邦証人の名前、進行中の捜査の詳細など、極めて機密性の高い情報が含まれていることが多い。そのような情報が外国の敵対勢力や犯罪カルテルの手に渡れば、アメリカ人の安全保障に大きな損害を与えることになりかねない。ニューヨーク・タイムズ』紙が、「海外とつながりのある犯罪活動に関する文書」が最近のハッキングの標的だったと報じていることは、問題の解決にはならない。重要なところで見られるクリプトポリタンリサーチに広告を掲載し、暗号の最も鋭い投資家や構築者にリーチしましょう。

https://www.cryptopolitan.com/us-senator-wyden-microsoft-security-threat/