ランサムウエア「WannaCry」被害拡大はNSAの責任なのか

2017年5月16日（火）18時35分

エリアス・グロル

マイクロソフトのブラッド・スミス社長兼最高経営責任者は日曜、「政府がソフトウエアの脆弱性を秘密にしているのは問題だということが改めて示された」と、ブログに書いた。「世界中の政府はこの攻撃を警鐘として受け止めるべきだ」

人権擁護団体も概ねマイクロソフトと歩調を合わせる。アメリカ自由人権協会会員のパトリック・トゥーミーは声明で、「ソフトウエアの脆弱性は自国の情報機関だけでなく、世界中のハッカーや犯罪者からも悪用されかねない」と述べた。

スミスは2月、重要インフラやテクノロジー企業を標的とした国家によるサイバー攻撃を禁止する「デジタル版ジュネーブ条約」の締結を呼びかけた。各国政府がソフトウエアの脆弱性を敵対国へのハッキングに転用するのを禁じ、脆弱性の発見後速やかにソフトウエア開発企業に知らせる義務を負わせる。それにより、マイクロソフトのような企業は対応するパッチ（修正プログラム）をいち早く提供できるようになる。

3年前にサポートをやめた責任

だが、マイクロソフト側にも「不都合な真実」がある。同社はシャドー・ブローカーズがエターナル・ブルーを公開する1カ月前に対応するパッチを公表したが、それでもランサムウエアの感染拡大は止められなかった。では、マイクロソフトはどうしてエターナルブルーの存在を知ったのか。マイクロソフトもNSAも認めていないが、コンピューターの専門家は、NSAはハッキングツールの流出に気づいた時点で、マイクロソフトに警告したものと見ている。

対策が間に合わず感染が広がったのには、様々な理由がある。イギリスの国民保健サービス（NHS）の場合、かなりの台数のコンピューターでマイクロソフトが2014年にサポートを打ち切った「ウィンドウズXP」を使っている。全世界の5～10％のコンピューターは今もXPを使用しているが、マイクロソフトはすでにプログラムの更新を止めていた。同社は土曜日、慌ててXP対応のパッチを緊急リリースした。

責任の一端は、システムを更新しなかった利用者やIT関係者にもある。だが様々な理由で、システムの更新自体が困難な問題を引き起こすのも事実だ。例えば先日、米アップルが提供したソフトウエアの更新では、iPad Proが起動しなくなった。月曜に中国でWannaCryへの感染が広がったのは、中国で人気の海賊版ソフトウエアは更新サービスを受けられないからだ。

次のページNSAは教えない