誰が責任を取る？　ランサムウェアWannaCryの被害拡大

訴えられるのはWindowsユーザー企業

　攻撃の被害者は「Windowsを利用している企業・個人」または「その企業からサービスを受けていた顧客」だ。被害の規模は、修復のコストなども含めると数十億ドルになるとも言われている。そこで、この事件の被害者が訴訟を起こすことが考えられる。Reutersは、訴訟の可能性についての記事をいち早く伝えたが、専門家たちによると、Microsoftを訴える可能性は低いという。

　集団訴訟を得意とする法律事務所Edelson PCのデジタルプライバシー法専門弁護士、Christopher Dore氏はReutersに対し、「既にサポート切れになった旧版のWindowsを使うことは多くの疑問を提起する」と述べている。サポートの終了は契約に基づくものであり、「おそらく、これらのシステムをそのままにしておくことは、ユーザーの怠慢・過失になる」とみる。

　またLos Angeles Timesは、ゼロデイ型のサイバー攻撃と違い、WannaCryが利用した脆弱性が既知で、Microsoftがパッチを提供済みだった点も指摘する。こうしたことから、Microsoftの責任が問われる可能性は低いと考えられている。

　一方、米国最大の法律事務所の一つBallard SpahrのEdward McAndrew弁護士は、攻撃のせいでサービスが停止した場合、Windowsユーザー企業が顧客からの訴訟に直面する可能性があるとReutersにコメントしている。法的には、被害を受けた企業だけが外部から責任を問われることになる。

　しかしこの話、それでは釈然としない。今回、最も大きな影響を受けたのはNHS（英国民保健サービス）内の病院だが、病院のようなシステムは特殊で高額なアプリケーションや機器を使用しており、頻繁にアップデートできない。NHSはまさに、重要システムの更新途上だったという。ほかにも事情があって旧バージョンを使わねばならないシステムはある。