誰が責任を取る？　ランサムウェアWannaCryの被害拡大

　5月中旬の週末に世界を襲ったランサムウェア「WannaCry」は、150カ国以上、数十万台のコンピューターに感染し、病院や運送会社、通信会社などで混乱を巻き起こした。作成してネット上に放ったのは、正体不明の犯罪者だが、攻撃がここまでの規模の被害をもたらしたのは、Windowsの脆弱性、セキュリティ対応、それを改善してゆくプロセスなどの要素が深く関係している。誰が責任を負うのか、こうした事態に、どう対応すればいいのかが議論されている。

“脆弱性の備蓄”

　「攻撃は、米政府が“脆弱性の備蓄”を持っていることが、どれほどの問題になるかを示した例だ。CIAがそのような備蓄を持っていることはWikiLeaksの暴露で知られている。政府の手にあるエクスプロイトは再三にわたって漏えいし、広範な被害をもたらしている。（核弾頭の搭載も可能な巡航ミサイル）トマホークを盗まれたことにも等しいのだ」。5月4日の日曜日、Microsoftの社長で法務責任者のBrad Smith氏が、「先週のサーバー攻撃から学ぶこと」と題した声明を発表。その中で、政府を避難した。

　WannaCryの感染拡大経路は、従来のランサムウェアとは少し違っていた。組織のネットワークには、メール本文内のURLや添付ファイル（一部でリモートデスクトップサーバーへの総当たり攻撃もあったとされる）で侵入したが、その後はネットワーク共有機能「SMB v1」の脆弱性を利用して拡散した。侵入から数分で別の端末に感染できるといい、セキュリティ対策の施されてない端末が餌食となった。

　WannaCryに組み込まれていたのは「EternalBlue」と呼ばれるSMB v1の脆弱性を突くエクスプロイトで、先にShadow Brokersを名乗るハッカー集団（あるいは人物）が4月14日にWebで公開していた。何者かが、これを使ってWannaCryを作ったとみられている。Shadow Brokersは何度かに分けてエクスプロイトやツールを公開しているが、NSA（米国家安全保障局）から盗み出したものだと主張している。

　Microsoftは、EternalBlue公開の1カ月前の3月14日、対策アップデートを出していた。対象でなかったWindow XP用についても、2014年の延長サポート終了から3年以上たって、セキュリティパッチを出すという異例の対応をとった。事の重大さを示している。