米国の巨大医療ネットワークがサイバー攻撃によって機能不全に陥り、560万人もの患者の機密情報が流出した。この事件の背後には、世界最大のソフトウェア企業Microsoftの「重大なサイバーセキュリティにおける怠慢」があったとして、有力上院議員が米連邦取引委員会(FTC)に徹底的な調査を求める異例の事態に発展している。問題の核心にあるのは、1980年代に開発された“骨董品”とも言える古い暗号化技術「RC4」と、それを悪用する「Kerberoasting」という攻撃手法だ。なぜMicrosoftは、この致命的な脆弱性を長年デフォルトで放置し続けたのだろうか。

AD

発端は一つのクリック:巨大病院を麻痺させたサイバー攻撃の全貌

2024年、米国全土で140以上の病院を運営する非営利医療法人Ascensionは、壊滅的なランサムウェア攻撃に見舞われた。電子カルテシステムはオフラインとなり、手術は延期され、救急車は他の病院へ迂回を余儀なくされた。医療の最前線は、瞬く間にペンと紙に頼るアナログな世界へと逆戻りした。

その後の調査で明らかになった攻撃の連鎖は、現代のサイバーセキュリティが抱える脆弱性を象徴している。

  1. 侵入の起点: Ascensionの契約社員が、業務で使用していたPC上でMicrosoftの検索エンジン「Bing」を使い検索。その結果に含まれていた悪意のあるリンクをクリックしたことで、マルウェアに感染した。
  2. 内部への拡大: 攻撃者はこの一台のPCを踏み台に、Ascensionの広大なネットワーク内部へと侵入した。
  3. 権限の掌握: ここで攻撃者は、MicrosoftのWindows Serverに標準搭載されているディレクトリサービス「Active Directory」の脆弱性を突く。「Kerberoasting」と呼ばれる手法を用い、ネットワーク全体の管理者権限を奪取した。
  4. 被害の極大化: 最強の権限を手にした攻撃者は、数千台のコンピュータにランサムウェアを展開。同時に、560万人分もの患者の個人情報や医療記録といった機密データを窃取した。

この事件で最も注目すべきは、攻撃の連鎖における3番目のステップ「権限の掌握」だ。ここで悪用されたのが、MicrosoftがWindowsのデフォルト設定で長年維持してきた、時代遅れのセキュリティ設計だったのである。

「Kerberoasting」とは何か? 時代遅れの暗号技術「RC4」が招く悲劇

今回の攻撃の核心となった「Kerberoasting(ケルベロースティング)」とは一体どのような攻撃手法なのだろうか。これを理解するには、まずMicrosoftのActive Directoryと、そこで使われる認証の仕組み「Kerberos」、そして問題の暗号化技術「RC4」について知る必要がある。

企業の神経系統「Active Directory」と認証の門番「Kerberos」

大企業や組織のネットワークでは、何千、何万というユーザーアカウントやコンピュータを一元管理するために、MicrosoftのActive Directoryが広く使われている。これは組織のITインフラにおける「神経系統」とも言える重要なシステムだ。

ユーザーが社内サーバーのファイルにアクセスしようとする際、毎回パスワードを入力するのは非効率的だ。そこで「Kerberos」という認証プロトコルが使われる。これは、一度正しくログインすれば、「チケット」と呼ばれる通行証が発行され、ユーザーはネットワーク内の様々なサービスをスムーズに利用できる仕組みだ。

脆弱性の根源:1980年代の暗号技術「RC4」

問題は、このKerberos認証のチケットを保護するために使われる暗号化技術にある。

Windowsは、より強固なAES(Advanced Encryption Standard)といった現代的な暗号化方式をサポートしている。しかし、古いシステムとの互換性を維持するという名目の下、1987年に開発された「RC4」という非常に古い暗号化方式も、デフォルトで有効化され続けてきた。

RC4は、その脆弱性が1990年代には既に指摘され、2015年にはインターネット技術の標準化団体IETFによって、Web通信の暗号化(TLS)での使用が正式に禁止されたほどの「過去の遺物」だ。特にパスワードを暗号化する際に、「ソルト」と呼ばれるランダムなデータを加えない、ハッシュ化の繰り返しを行わないといった単純な設計が、現代のコンピュータの計算能力の前では致命的な弱点となる。

Kerberoasting攻撃の巧妙な手口

攻撃者はこのRC4の脆弱性を突く。

  1. ネットワークに侵入した攻撃者は、Active Directoryに対して「〇〇というサービスを使いたいので、認証チケットをください」と要求する。
  2. この時、攻撃者は意図的に「暗号化方式はRC4でお願いします」と指定する。
  3. Active Directoryサーバーは、デフォルト設定に従い、そのサービスのパスワードをRC4で暗号化したチケットを攻撃者に渡してしまう。
  4. 攻撃者は、このRC4で暗号化された「脆い鍵のかかった箱」をオフラインの自分のコンピュータに持ち帰る。
  5. 最新のGPUなどを使えば、この脆い鍵(RC4)をブルートフォース(総当たり)攻撃でこじ開け、中のパスワードを解読することは比較的容易だ。

こうしてサービスのパスワードを手に入れた攻撃者は、そのサービスアカウントになりすまし、さらに高い権限を持つアカウントを次々と乗っ取っていく。この手口が「Kerberoasting」だ。Ascensionの事例は、この古くから知られる攻撃手法が、今なお現実世界で壊滅的な被害を生み出すことを証明した。

AD

Wyden上院議員の痛烈な批判:「放火犯が消防サービスを売っている」

この状況に対し、サイバーセキュリティ問題に詳しいRon Wyden上院議員は、FTCに送った書簡の中でMicrosoftを極めて厳しい言葉で非難している。

「Microsoftの危険なソフトウェア設計のせいで、病院の一人の人間が間違ったリンクをクリックしただけで、組織全体がランサムウェアに感染しかねない事態になっている。Microsoftは、自社の危険なソフトウェアが可能にするランサムウェアの惨劇を止めること、あるいは減速させることさえ完全に怠ってきた」

Wyden議員が問題視しているのは、単なる技術的な欠陥ではない。Microsoftの企業姿勢そのものだ。

怠慢か、戦略か?「Secure by Default」原則の欠如

Wyden議員は、MicrosoftがRC4の危険性を長年認識しながら、デフォルト設定を変更するという根本的な対策を怠ってきたと指摘する。Microsoftは2024年10月に、この問題に関する技術ブログを公開し、将来的にRC4を無効化する方針を示した。しかし、Wyden議員によれば、その告知は「金曜の午後に、会社のWebサイトの目立たない場所にある高度に技術的なブログ」で行われたに過ぎず、大多数の顧客への明確な警告とは言えなかった。そして、その告知から11ヶ月以上が経過しても、約束されたセキュリティアップデートは提供されていない。

これは、現代のソフトウェア開発における大原則「デフォルトで安全」、つまり、ユーザーが何もしなくても初期設定の状態で最も安全であるべき、という考え方に真っ向から反する。

独占的地位とビジネスモデルへの批判

さらにWyden議員の批判は、Microsoftのビジネスモデルにまで及ぶ。

「Microsoftは、余裕のある組織向けに高価なサイバーセキュリティ・アドオンサービスを販売し、数十億ドル規模の二次的なビジネスを構築している。この点において、Microsoftは自ら火事を起こし、その犠牲者に消防サービスを売りつける放火犯のようだ」

この比喩は強烈だが、的を射ている。基本となるOSのセキュリティは(互換性を理由に)脆弱なまま放置し、より高度なセキュリティ機能を求める顧客には高価な上位プランや追加サービスを販売する。Windowsが企業向けOS市場で「事実上の独占」状態にあるため、顧客は他に有力な選択肢がなく、この「Microsoft税」とも言えるコストを支払い続けるか、リスクを受け入れるかの二択を迫られるという構図だ。

Microsoftの反論と見え隠れするジレンマ

批判に対し、Microsoftは公式に反論している。

「RC4は古い標準であり、我々はソフトウェアの設計においても、顧客へのドキュメントにおいても、その使用を推奨していない。そのため、我々のトラフィック全体に占める割合は0.1%未満だ。しかし、その使用を完全に無効化すると、多くの顧客システムが破壊されてしまう。このため、我々は顧客が利用できる範囲を段階的に縮小する道を歩んでいる」

Microsoftは、2026年第1四半期から、Windows Server 2025を新規にインストールした場合はデフォルトでRC4を無効にすると発表している。

この反論は、巨大な顧客ベースを抱えるプラットフォーマーならではのジレンマを示している。世界中には、いまだRC4のような古い技術に依存したシステムが数多く稼働しており、Microsoftが一方的にサポートを打ち切れば、大混乱を引き起こしかねない。セキュリティの理想と、互換性維持という現実の狭間で、Microsoftは難しい舵取りを迫られている。

しかし、その「配慮」が、結果としてAscensionのような重要インフラを危険に晒し、数百万人の人々の安全を脅かしたという事実は動かない。アナリストの視点から見れば、警告の方法やパッチ提供のスピードなど、リスクコミュニケーションと対応の優先順位付けに大きな問題があったことは明らかだ。

AD

これは氷山の一角か?根深いMicrosoftのセキュリティ文化

今回の事件は、決して単発の不祥事ではない。近年、Microsoftのセキュリティ体制には厳しい目が向けられ続けている。

2023年には、中国政府系のハッカーグループがMicrosoftの認証システムの欠陥を突き、米国務長官を含む政府高官の電子メールアカウントに不正アクセスする事件が発生した。この事件を調査した米政府の諮問機関「サイバー安全諮問委員会(Cyber Safety Review Board, CSRB)」は2024年4月の報告書で、この侵害は「回避可能だった」と結論づけ、「Microsoftのセキュリティ文化は不十分であり、全面的な見直しが必要だ」と断じた。

度重なる重大インシデントと外部からの厳しい指摘は、Microsoftが推進する「Secure Future Initiative(セキュアな未来へのイニシアチブ)」といったセキュリティ強化キャンペーンが、いまだ企業文化の根幹を変革するには至っていない可能性を示唆している。

FTCの調査がもたらすもの:ソフトウェア業界に「製造物責任」の波は来るか

Wyden上院議員の要請を受け、FTCが本格的な調査に乗り出せば、その影響はMicrosoft一社に留まらないだろう。

これまでソフトウェアの脆弱性は「バグ」として扱われ、メーカーが修正パッチを提供すれば責任は果たされるという考え方が一般的だった。しかし、自動車のリコール制度のように、設計上の重大な欠陥が放置され、消費者に損害を与えた場合、メーカーに巨額の賠償責任や罰金が課される「製造物責任」の考え方をソフトウェアにも適用すべきだという議論が、今回の事件を機に再燃する可能性がある。

FTCがMicrosoftに対して、独占的地位を濫用して不公正な取引(=安全でない製品の提供)を行ったと判断すれば、同社はデフォルト設定の即時変更や、既存顧客への無償での安全対策の提供などを命じられるかもしれない。これは、テクノロジー業界全体のビジネスモデルや製品開発のあり方に、大変革を引き起こすトリガーとなり得る。

我々は、便利で高度なテクノロジーが、目に見えない脆弱性の上に成り立つ砂上の楼閣であることを、改めて認識する必要がある。Ascensionの悲劇は、一つの企業の「怠慢」が、社会全体の安全をいかに容易く脅かすかを示す生々しい教訓だ。FTCの調査の行方は、巨大テクノロジー企業にどこまでの責任を問えるのか、そして我々のデジタル社会の未来の安全基準を

Sources