Infostand海外ITトピックス

誰が責任を取る? ランサムウェアWannaCryの被害拡大

責任はどこに?

 誰の責任が大きいのかでのメディアの論調は分かれている。政府に批判的なことで知られるWashington Postは発生後ただちに、今回の攻撃は「完全に防ぐことができるものだった」と主張。NSAが米国の敵に対して使おうと考えていたエクスプロイトは、数十億の普通の人にも害をなすものであり、同時にNSAやほかの政府機関の完全なコントロール下に置いておくことは難しいものだ、と管理の問題を指摘した。

 Wall Street Journalは、「Microsoftは責任をそらしている。政府が脆弱性の備蓄をやめて皆テクノロジー企業に報告するというのは“甘い考え(naive)”だ」とのセキュリティアナリストのコメントを紹介している。

 New York Timesは、筋論と現実の違いを挙げる。「Microsoftのような企業は、古いソフトウェアを使っているユーザーを見捨ててもいいといった考えを持つべきではない」(ノースカロライナ大学の情報学部准教授)との意見を紹介する一方で、「古いソフト製品が無期限に更新され続けると期待するのは無理だ」というセキュリティ専門家の見解も挙げる。

 Smith氏は声明で、OSの脆弱性の第一の責任者は自社であると確認するとともに、政府の責任、また技術企業と顧客の間の共通の責任である、があると指摘する。そして改善のため、同氏が2月に提唱した「デジタル・ジュネーブ条約」の推進が必要だと強調した。民間人をサイバー攻撃から守るため、国家、テクノロジー企業それぞれの役割をあらかじめ取り決めしておくものだ。だが、テクノロジー企業と各国政府の大きな枠組みを作るには、相当な時間がかかるだろう。

 VEPを調べたコロンビア大学の研究者Jason Healey氏が昨年11月にまとめた政府とゼロデイ脆弱性についてのレポートによると、“備蓄”の数は数十と推定されるという。