【悲報】Microsoftの「放置」が病院を壊滅させた日。560万人のデータ流出と18億ドルの損失、その全貌
米国で発生した医療市場最悪のサイバー攻撃は、140もの病院を機能停止に追い込み、救急車は患者を乗せたまま行き場を失いました。医師たちは電子カルテを失い、紙とペンで必死に診療を続け、560万人の患者データが闇に消え、18億ドルという天文学的な損失が発生したのです。
2025年9月10日、ロン・ワイデン上院議員が連邦取引委員会に送った4ページの告発文書が、この悲劇の真犯人を指し示しました。世界最大のソフトウェア企業であるMicrosoftです。議員は同社を「放火犯が消防サービスを売るようなもの」と痛烈に批判。1980年代の古い暗号化技術RC4を規定で有効にし続け、その脆弱性を知りながら放置した結果が、この惨事だったのです。
告発文書の衝撃とアセンションへの攻撃
オレゴン州選出の民主党上院議員ロン・ワイデンが連邦取引委員会に送った告発文書は、米国IT業界に激震を走らせました。長年テクノロジー問題を監視してきた議員は、Microsoftを重大なサイバーセキュリティ過失で告発し、同社が米国の国家安全保障に対する深刻な脅威となっていると断言しました。
告発の中心は、2024年に発生したカトリック系非営利医療ネットワーク「アセンション」への壊滅的なランサムウェア攻撃です。19州で140の病院を運営する全米最大級の医療システムが、たった1つのクリックから始まった攻撃で完全に機能不全に陥ったのです。議員の事務所は独自調査を実施し、アセンションから新たな情報を入手。攻撃の発端は、契約業者がアセンションのラップトップでMicrosoftのBing検索エンジンを使用中、悪意のあるリンクをクリックしたことでした。
マルウェアがダウンロードされ、攻撃者はMicrosoftの脆弱な規定設定を悪用してネットワーク全体に侵入。最終的にMicrosoft Active Directoryサーバーの管理者権限を奪取し、数千台のコンピューターにランサムウェアを展開しました。議員は「Microsoftは企業向けオペレーティングシステムを事実上独占しているにも関わらず、顧客を危険にさらす設定を規定値として提供し続けている」と指摘。さらに、2023年7月に発生した中国系ハッカーによる米国政府職員数千人分の電子メール窃取事件も引き合いに出し、連邦審査委員会がMicrosoftの不適切なセキュリティ文化を原因と結論付けたことを強調しました。
RC4暗号化の致命的欠陥とMicrosoftの責任
攻撃の核心は「ケルベロスティング」と呼ばれる手法にありました。これは1987年に開発されたRC4(Rivest Cipher 4)暗号化技術の脆弱性を悪用するものです。RC4は当初企業秘密でしたが、1994年に入手され、その後セキュリティ専門家から繰り返し危険性が指摘されてきました。2015年にはインターネット技術タスクフォースがTLSプロトコルでのRC4使用を正式に禁止。様々な暗号学的弱点により平文の復元が可能と警告しました。
米国サイバーセキュリティ・インフラストラクチャー庁(CISA)は2023年、医療分野でのケルベロスティング攻撃について緊急警告を発出。2024年にはCISA、FBI、NSAの3機関が共同で、イランなどの外国勢力がこの手法で米国企業を標的にしていると警告しました。ある調査では、2023年にケルベロスティング攻撃が前年比583%増加したことが判明しています。にも関わらず、Microsoftは安全なAES暗号化を提供しながら、RC4を規定で有効にし続けました。
同社は「ユーザーは14文字以上のパスワードで脅威は軽減できる」と主張しますが、自社ソフトウェアは管理者アカウントにこの制限を強制していません。2024年7月29日、ワイデン議員の事務所がMicrosoft幹部にこの問題を指摘すると、同社は対策を約束。しかし、10月11日に公開されたのは、金曜の午後に目立たない場所へ掲載されたコードに技術的なブログ記事のみ。経営層が理解できる平易な警告は一切ありませんでした。Microsoftは2026年第1四半期までRC4の無効化を実施しないと表明しており、それまで無数の組織が危険にさらされ続けることになります。
医療崩壊の連鎖反応と財務的打撃
アセンションへの攻撃は2024年2月29日に始まりましたが、5月8日まで発見されませんでした。この2ヶ月以上の潜伏期間中、攻撃者はシステム深部まで侵入していたのです。電子カルテ「マイチャート」の完全停止により、560万人の患者が自身の医療記録にアクセス不能となりました。処方箋システム、検査オーダーシステム、手術予約システム、さらには電話システムまでが機能不全に陥ったのです。
医師と看護師は1980年代のように紙とペンでの診療を強いられ、薬の相互作用チェックや患者の既往歴確認が困難になりました。救急車は機能している病院を探して町を彷徨い、緊急手術は次々と延期されました。インディアナポリスのセントビンセント病院では、全ての選択的手術が無期限延期となったほどです。ミシガン州の看護師はCNNに「これは患者の生命を直接危険にさらしている」と証言。医療スタッフは患者の安全確保のため、通常の3倍の時間をかけて手作業で確認作業を行いました。
財務的打撃も甚大で、2024年9月17日の報告書でアセンションは18億ドルの運営損失を計上。被害者への身元保護サービス提供費用も追加されました。さらに深刻なのは、地域医療システム全体への波及効果です。攻撃を受けていない近隣病院での脳卒中緊急症例は59件から103件へ74.6%増加。確認された脳卒中は22件から47件へ113.6%増加しました。心停止症例は21件から38件へ81%増加し、医療スタッフは限界を超えた対応を強いられました。最も悲劇的なのは、良好な予後が期待できた神経疾患患者の院外心停止後生存率が40%から4.5%へ激減したことです。これは、適切な医療を受けられなかった患者の命が失われたことを意味します。
独占企業の「放火犯」と国家安全保障への脅威
ワイデン議員はMicrosoftのビジネスモデルを「放火犯が消防サービスを被害者に売り付ける行為」だと激しく非難しました。同社は脆弱な規定設定のWindowsを提供し、その結果生じるセキュリティ事故に対して、数十億ドル規模のセキュリティアドバイスやコンサルティングを販売しているのです。企業や政府機関は、Microsoftの事実上の独占攻撃を受けた後も同社製品を使い続けるしかありません。
議員は「政府機関、企業、アセンションのような非営利組織は、ハッキングされた後でさえMicrosoftのソフトウェアを使い続けるしかない。なぜなら同社が企業ITを独占しているからだ」と指摘。Microsoftの広報担当者は「RC4は古い標準で、当社トラフィックの0.1%未満」と主張しましたが、同時に「完全無効化すると多くの顧客システムが動作不能になる」と矛盾した説明をしています。これは、同社が互換性を理由にセキュリティを犠牲にしていることの証左です。
同社はすでにDES暗号化をWindowsサーバー2025とWindows 11から削除しましたが、RC4については2026年第1四半期まで規定で有効のまま残されます。その間、無数の組織が既知の脆弱性にさらされ続けるのです。議員はMicrosoftが顧客に明確な警告を出すことを拒否し、代わりにコードに技術的で理解困難な情報を目立たない場所に掲載したことも批判。「上級管理職が理解できる平易な英語での明確なガイダンスを公開し宣伝するよう私のスタッフが具体的に要請したにも関わらず、Microsoftは金曜の午後に自社ウェブサイトの目立たない場所にコードに技術的なブログ記事を公開しただけだった」と議員は述べています。
ワイデン議員はこの問題を単なる企業の失敗ではなく、国家安全保障上の危機として位置づけました。「タイムリーな対応がなければ、Microsoftの過失的なサイバーセキュリティ文化と企業向けOS市場の事実上の独占が組み合わさり、深刻な国家安全保障上の脅威となり、追加のハッキングを不可避にする」と警告。議員は連邦取引委員会(FTC)に対し、Microsoftを調査し、同社が米国政府と医療部門などの重要インフラに提供した危険で安全でないソフトウェアによって引き起こされた深刻な被害について責任を負わせるよう要請しました。
沈黙の代償とデジタル時代の悲劇
病院の廊下に響くはずだった足音が消えた朝、560万人の運命が暗転しました。点滅するモニターの光が途絶え、生命をつなぐデジタルの糸が切れた瞬間、現代医療のもろさが露呈したのです。RC4という名の亡霊が1987年の墓場から蘇り、2024年の春に牙を剥きました。古びた暗号はまるで時限爆弾のように37年間時を刻み続けていたのです。Microsoftという名の巨人は、その爆弾の存在を知りながら「互換性」という美名のもとに針を進めさせ続けました。
18億ドルという数字は、失われた信頼の値段でしょうか。それとも企業の怠慢が産んだ負債の総額でしょうか。病室で息を引き取った患者の最後の言葉は、電子カルテには記録されませんでした。救急車のサイレンは行き先を失って町を彷徨い続け、医師の手はペンを握ることに慣れておらず、看護師の目は紙のカルテを追うことに疲れ果てていました。40%から4.5%へ。これは単なる生存率の数字ではありません。35人のうち33人が適切な医療を受けられずに消えていった命の記録です。
独占という名の牢獄で選択肢を奪われた組織は、攻撃者に身代金を払い、そして再び同じ脆弱なシステムに戻っていく。放火犯が消防士の顔をして被害者に水を売る。この皮肉な構図が21世紀のデジタル社会の現実となりました。ワイデン議員の告発は、静かな湖に投げ込まれた石のように波紋を広げていきます。その波は独占企業の上壁を揺るがし、眠っていた規制当局を目覚めさせるでしょうか。技術の進歩は必ずしも人類の進歩を意味しない。高度な技術の一両一両に宿るべき倫理が、利益という名の闇に飲み込まれていく。私たちが目撃しているのは、デジタル時代の新たな悲劇です。それは古代ギリシャの神話のように、傲慢な巨人が自らの重さで崩れ落ちる物語かもしれません。560万の魂が、沈黙の中で正義を待っています。
AIの所感
このMicrosoftのセキュリティ問題は、現代社会におけるテクノロジー企業の責任の重さを改めて浮き彫りにしました。特に医療分野のような人命に関わるインフラにおいて、既知の脆弱性を放置し、互換性を優先する姿勢は許されるべきではありません。独占的な地位にある企業が、その影響力を認識し、より高い倫理観とセキュリティ意識を持って製品を提供することが不可欠です。今回の事件は、単なる技術的な問題に留まらず、企業のガバナンス、国家安全保障、そして何よりも人々の生命と健康に直結する深刻な課題であることを示しています。規制当局による厳格な調査と、企業による抜本的な改善が強く求められます。