Wyden เรียกร้อง FTC สอบสวน Microsoft เรื่อง "ความประมาทเลินเล่อด้านไซเบอร์" ที่คุกคามโครงสร้างพื้นฐานสำคัญ

ในโลกที่เทคโนโลยีเป็นหัวใจของทุกอย่าง ภัยคุกคามทางไซเบอร์กลายเป็นปัญหาใหญ่ที่รัฐบาลสหรัฐฯ ไม่อาจมองข้ามได้ ล่าสุดเมื่อวันที่ 11 กันยายน 2025 วุฒิสมาชิก รอน ไวเดน จากรัฐโอเรกอน ได้ส่งจดหมายถึง FTC (คณะกรรมการการค้าแห่งสหพันธ์) เพื่อเรียกร้องให้สอบสวน Microsoft ฐาน "ความประมาทเลินเล่อด้านไซเบอร์" (gross cybersecurity negligence) ที่ทำให้ลูกค้าตกเป็นเหยื่อการโจมตีรานซัมแวร์ โดยเฉพาะการใช้การเข้ารหัส RC4 ที่ล้าสมัยตั้งแต่ยุค 1980s ซึ่งยังคงเป็นค่าเริ่มต้นใน Windows และ Active Directory

กรณี Ascension: ตัวอย่างชัดเจนของความเสี่ยง

ไวเดน ยกตัวอย่างการโจมตีรานซัมแวร์ต่อระบบโรงพยาบาล Ascension ในปี 2024 ซึ่งส่งผลกระทบต่อผู้ป่วยกว่า 5.6 ล้านคน ข้อมูลส่วนตัว ทางการแพทย์ ชื่อผู้ใช้บัญชีธนาคาร และบัตรประชาชนถูกขโมยไปหมดสิ้น พนักงานคนหนึ่งที่ใช้คอมพิวเตอร์ของบริษัท ค้นหาบน Bing และคลิกลิงก์หลอกลวงจาก Microsoft Edge (เบราว์เซอร์เริ่มต้น) ทำให้มัลแวร์แพร่กระจายไปยังเครือข่ายทั้งหมด แฮกเกอร์ใช้เทคนิค Kerberoasting เพื่อเจาะ Active Directory และขโมยรหัสผ่านผู้ดูแลระบบ ก่อนปล่อยรานซัมแวร์ไปยังเครื่องนับพัน ไวเดน ชี้ว่า RC4 เป็นจุดอ่อนที่รู้จักมานานกว่า 10 ปี โดยหน่วยงานรัฐบาลอย่าง CISA, FBI และ NSA ได้เตือนซ้ำ ๆ แต่ Microsoft ยังคงเปิดใช้งานค่าเริ่มต้น ทำให้แฮกเกอร์อย่าง Ascension Ransomware (เชื่อมโยงกับอิหร่าน) ใช้ประโยชน์ได้ง่าย แม้จะมีทางเลือกที่ปลอดภัยกว่าเช่น AES (Advanced Encryption Standard) ที่ได้รับการรับรองจากรัฐบาล แต่ Microsoft ไม่ได้บังคับใช้

Microsoft ตอบโต้ยังไง?

Microsoft ยอมรับในแถลงการณ์ว่ายืนยัน RC4 น้อยกว่า 0.1% ของทราฟฟิก แต่ไม่ปิดการใช้งานทั้งหมดเพราะอาจทำลายระบบลูกค้าบางราย พวกเขาสัญญาว่าจะปิดค่าเริ่มต้น RC4 ใน Windows Server 2025 และ Windows 11 24H2 เริ่มไตรมาสแรกปี 2026 พร้อมเพิ่มมาตรการป้องกันเพิ่มเติม นอกจากนี้ Microsoft ได้ออกบล็อกเตือนในเดือนตุลาคม 2024 เพื่อแนะนำลูกค้าให้ใช้รหัสผ่านยาวอย่างน้อย 14 ตัวอักษร แต่ ไวเดน วิจารณ์ว่าการเตือนนี้ "ทางเทคนิคเกินไป" และไม่ชัดเจนพอสำหรับองค์กรทั่วไป

ผลกระทบและเหตุผลที่ไวเดนเรียกร้อง

ไวเดน มองว่า Microsoft ในฐานะผู้นำตลาดระบบปฏิบัติการองค์กร (de facto monopoly) มีหน้าที่รับผิดชอบความปลอดภัย แต่กลับเลือกค่าเริ่มต้นที่ไม่ปลอดภัย ทำให้เกิดการโจมตีรานซัมแวร์ต่อเนื่อง โดยเฉพาะในภาคสุขภาพที่กระทบชีวิตผู้คน การโจมตี Ascension ทำให้โรงพยาบาลหยุดบริการ ส่งผลต่อผู้ป่วยฉุกเฉิน และขโมยข้อมูลละเอียดอ่อนนับล้านรายการ ไวเดน เรียกร้องให้ FTC สอบสวนเพื่อบังคับให้ Microsoft:
  • ใช้ค่าเริ่มต้นที่ปลอดภัย
  • ออกอัปเดต RC4 ทันที
  • ให้คำแนะนำที่เข้าใจง่ายแก่ลูกค้า
นี่ไม่ใช่ครั้งแรกที่ Microsoft ถูกวิจารณ์ โดย Cyber Safety Review Board ในปี 2024 ชี้ว่าวัฒนธรรมความปลอดภัยของบริษัท "ไม่เพียงพอ" หลังการแฮกจากจีนในปี 2023

คำถามที่พบบ่อย

  • Wyden เรียกร้องอะไรจาก Microsoft? สอบสวน FTC เพื่อบังคับอัปเดต RC4 และค่าเริ่มต้นปลอดภัย
  • RC4 คืออะไร? การเข้ารหัสเก่า (1980s) ที่อ่อนแอต่อ Kerberoasting
  • Ascension ถูกแฮกยังไง? จากลิงก์หลอกลวงใน Edge และ Bing นำไปสู่รานซัมแวร์

วิธีป้องกันตัวเองจากภัยแบบนี้

  • ใช้รหัสผ่านยาวอย่างน้อย 14 ตัวอักษร สำหรับบัญชีผู้ดูแล
  • ปิด RC4 ใน Active Directory ถ้าใช้ Microsoft (ตามคำแนะนำ CISA)
  • ใช้เครื่องมือตรวจจับมัลแวร์และอัปเดตซอฟต์แวร์เสมอ
  • ฝึกอบรมพนักงานหลีกเลี่ยงลิงก์น่าสงสัย

Microsoft กับความรับผิดชอบในยุค AI

การเรียกร้องของ ไวเดน ไม่ใช่แค่เรื่อง RC4 แต่เป็นสัญญาณเตือนถึงวัฒนธรรมความปลอดภัยของ Microsoft ที่ล้าหลัง ในขณะที่บริษัทผลักดัน AI อย่าง Copilot แต่ปัญหาพื้นฐานอย่างการเข้ารหัสยังไม่ได้รับการแก้ไข อาจนำไปสู่การโจมตีใหญ่ในอนาคต โดยเฉพาะในโครงสร้างพื้นฐานสำคัญอย่างสุขภาพและรัฐบาล ถ้า FTC สอบสวนจริง อาจบังคับให้ Microsoft เปลี่ยนแปลงใหญ่ ซึ่งจะเป็นประโยชน์ต่อผู้ใช้ทั่วโลก CTA BLOG TTT-WEBSITE:
  • สมัครรับข่าวสาร เพื่ออัพเดท Wyden FTC Microsoft สมัครที่นี่
  • แชร์บทความนี้ ให้เพื่อน ชวนคุยเรื่องความปลอดภัยไซเบอร์!
  • แสดงความคิดเห็น ด้านล่างว่าคิดว่า Microsoft ควรรับผิดชอบยังไง?