マイクロソフト、大規模なランサムウェア攻撃を受けNSAとCIAを「脆弱性の蓄積」と非難
テイラー・ソパー著
マイクロソフトは、世界中の機関を狙った最近の大規模なランサムウェア攻撃を受けて、米国政府機関が「脆弱性を蓄積している」と批判した。
マイクロソフトの社長兼最高法務責任者、ブラッド・スミス氏は日曜日、過去数日間に世界中の病院、企業、政府などの何十万台ものコンピューターをロックダウンさせた「WannaCry」として知られるランサムウェアを使用した大規模なサイバー攻撃についてブログ記事を書いた。
スミス氏は、NSAやCIAのような機関は脆弱性を秘密にしておくのではなく、修正できるように公開すべきだと述べた。
「これは2017年に現れつつあるパターンです」とスミス氏は記している。「CIAが保管していた脆弱性がウィキリークスで公開されたのを目にしてきましたが、今度はNSAから盗まれた脆弱性が世界中の顧客に影響を与えています。政府機関が保有する脆弱性が繰り返し公開され、広範囲にわたる被害をもたらしてきました。通常兵器で同様のシナリオを想定すると、米軍のトマホークミサイルが盗まれるようなものでしょう。」
スミス氏はさらに、「政府は、こうした脆弱性を蓄積し、エクスプロイトを使用することで民間人に生じる被害を考慮する必要がある」と述べた。
WannaCryは、Microsoftが今年初めに修正プログラムを公開したWindowsの脆弱性を悪用したと報じられています。Microsoftは土曜日、ランサムウェア攻撃に悪用された脆弱性を修正するため、カスタムサポートのみの対象となる旧バージョンのWindows(Windows XP、Windows 8、Windows Server 2003)向けの公開パッチをリリースするという「極めて異例の措置」を講じました。
本日の投稿で、スミス氏は、消費者保護のためにテクノロジー業界、顧客、そして政府がより緊密に連携する必要があると指摘した。彼は、マイクロソフトが2月に提案した「デジタル・ジュネーブ条約」と呼ばれるイニシアチブに言及し、国家によるサイバー攻撃から民間人を保護するための基準を定めると述べた。
スミス氏はまた、「サイバーセキュリティはテクノロジー企業と顧客の共同責任となった」と書いている。
「今回の攻撃は、コンピューターを最新の状態に保ち、パッチを適用するといった情報技術の基本は、すべての人の大きな責任であり、すべての経営幹部が支持すべきものであることを強く思い起こさせるものだ」と同氏は述べた。
マイクロソフトのワールドワイドコマーシャルビジネス担当エグゼクティブバイスプレジデント、ジャドソン・アルソフ氏は、従業員宛ての社内メールで、今回の攻撃の影響を受けた顧客を支援することの重要性について言及しました。メールの全文は以下のとおりです。
WCBチーム、
本日、ブラッド・スミス氏が、ここ数日間で発生した悪意のあるソフトウェア「WannaCrypt」攻撃の広範な影響について考察したブログ記事を投稿しました。まだご覧になっていない方は、ぜひ数分ほどお時間を取ってお読みください。
ご存知のとおり、多くのお客様が今回の攻撃の影響を受けました。私たちは、特定できたすべてのお客様に対し、積極的かつ事後対応的に連絡を取り、支援を提供してきました。特に、すべてのお客様は今回の事態を把握しており、それぞれに疑問や懸念をお持ちだと思います。今私たちができる最も重要なことは、お客様と連絡を取り合い、必要に応じて安心感とガイダンスを提供することです。お客様は既に多くの技術ガイダンスをお渡し済みだと思いますが、もちろん、必要に応じてお客様と共有していただいても構いません。私たちがお客様と共にこの状況に取り組んでいることを忘れてはなりません。私たちはお客様にとって信頼できるアドバイザー、カウンセラー、そしてサプライヤーです。技術的なガイダンスだけでなく、お客様の懸念事項を理解し、私たちがいつでもサポートを提供できることをご理解いただくために、必要な時間を割いていただきたいと思います。
その一つの兆候として、サポート対象外のシステムも含め、すべてのシステムへの一括アップデートをリリースするという決定が挙げられます。私たちはすべてのお客様を第一に考え、これがグローバルなセキュリティを最大限に保護するための一歩であると確信したため、この措置を講じました。今後、さらなる対策を講じる機会が見つかれば、積極的に対応いたします。
この点にご注目いただき、お客様に安心感を与えてくださりありがとうございます。
ジャドソン
編集者注: Judson Althoff からの電子メールがこのストーリーに追加されました。
