賣防火服務的縱火犯？美參議員要求微軟徹查資安漏洞

記者孫敬／編譯

美國民主黨參議員懷登（Ron Wyden）週三向聯邦貿易委員會（FTC）發出正式請求，要求該機構調查並追究微軟（Microsoft）的責任，因為微軟在一系列重大網路安全事件中扮演了關鍵角色。懷登在致信FTC主席Andrew Ferguson的內容嚴厲指出，微軟的資安態度持續威脅美國國家安全。

懷登認為，微軟嚴重的資安疏失導致了多起針對美國關鍵基礎設施的勒索軟體攻擊，包括醫療保健機構，部分原因來自Windows作業系統的預設配置問題。他將微軟比喻為賣防火服務給受害者的縱火犯，並強調由於微軟在企業IT領域的近乎壟斷，政府機構與其他公司別無選擇，只能使用其產品。

延伸閱讀：國家安全新戰略？美議員提案「GAIN AI法案」確保美國能優先取得AI晶片

微軟回應RC4加密技術已經過時，2026年第一季將停用

懷登在信中特別點名了2024年5月，針對美國醫院營運商Ascension的勒索軟體攻擊事件。該事件導致近560萬人的個人醫療與保險資料外洩。根據懷登辦公室的調查，攻擊者是透過一名承包商的筆記型電腦，在微軟Bing搜尋引擎上點擊了一個惡意連結，進而入侵Ascension的網路，最終控制管理使用者帳戶的Microsoft Active Directory伺服器。

懷登指出，微軟對老舊加密技術RC4的支援以及預設配置設定，為Ascension的攻擊創造了機會，批評微軟在教育客戶如何緩解這些威脅方面做得還不夠。對此，微軟發言人回應，RC4是一個過時的加密標準，僅佔網路流量的不到0.1%，並稱公司不鼓勵客戶使用。儘管如此，發言人也坦承若完全停用RC4，將會導致許多客戶系統無法運作，因此公司正逐步限制其使用，同時提供相關警告與安全指南。微軟計畫從2026年第一季開始，在特定Windows產品中預設停用RC4。

不過這並非懷登首次要求美國政府審視微軟在網路攻擊中的角色。早在2023年7月，中國駭客竊取數千名美國官員電子郵件的事件曝光後，他也曾發起類似的調查行動。

資料來源：Reuters