[ワシントン 23日 ロイター] - 米政府機関などがロシア系とみられるハッカーの攻撃を受けた問題を巡り、ソフトウエア会社のソーラーウィンズやマイクロソフトなど米4社のトップが23日、上院情報特別委員会の公聴会で自社の対応を擁護した。
昨年12月に判明した大規模ハッカー攻撃では、ソーラーウィンズとマイクロソフトのプログラムが利用され、9つの連邦政府機関や約100社の米企業が標的となった。
公聴会ではマイクロソフトのブラッド・スミス社長、ソーラーウィンズのスダカー・ラマクリシュナ最高経営責任者(CEO)のほか、サイバー攻撃を最初に公表したサイバーセキュリティー会社ファイア・アイのケビン・マンディアCEO、ソーラーウィンズの復旧を支援しているクラウドストライク・ホールディングスのジョージ・クルツCEOが証言した。
議員によると、サイバー攻撃の実行にサーバーが利用されたアマゾン・ドット・コムも公聴会に招いたが、同社は出席を拒否したという。
出席した幹部は、ハッカー攻撃に関する透明性や情報共有の改善を求めた。また、個人情報への影響がない限り、被害者の多くは攻撃を受けたことを公表する法的義務がないため、今回の攻撃の実際の規模はまだ明らかになっていないと指摘した。
マイクロソフトのスミス社長は「国として、サイバー攻撃に関する情報共有を促し、時には義務付けることが極めて重要だ」と述べた。
マイクロソフトは先週、同社のプログラムでユーザー認証に用いるソースコードをハッカーが閲覧できていたことを明らかにした。ハッカーはこれらのプログラムを操作し、標的企業などの内部でアクセスを広げるのに利用していた。
スミス社長はこれについて、マイクロソフトのプログラミングエラーではなく、顧客側の設定や管理の問題が原因だと主張した。
クラウドストライクは、同社のシステムにアクセスできるマイクロソフトの外部業者を通じてハッカーが電子メールへのアクセスを試みたが、失敗に終わった。
クラウドストライクのクルツCEOは、マイクロソフトのアーキテクチャー(基本設計)を複雑で「時代遅れ」と批判。ユーザー管理機能「アクティブディレクトリ」やクラウドプラットフォーム「アジュール」に存在する問題を修正すべきだと述べた。