WannaCryランサムウエア被害拡大でもNSAはサイバー兵器を渡さない

＜被害拡大はウィンドウズの脆弱性に気付きながら知らせなかったNSAのせいだ、とマイクロソフトは言う。だが、今回狙われたウィンドウズXPを2014年から放置していたのはマイクロソフトだ＞

先週末から、米マイクロソフトの基本ソフト「ウィンドウズ」を標的にしたサイバー攻撃の被害が、世界中に広がっている。イギリスでは医療機関のコンピューターがウイルスに感染してシステムが停止、患者の受け入れを中止した。フランスでは自動車大手ルノーの工場が一部操業停止に追い込まれ、ロシアでは内務省のコンピューター約1000台が攻撃を受けた。

マイクロソフトはウイルス感染の責任は米国家安全保障局（NSA）にあるとして、名指しで批判している。NSAは、ウィンドウズの脆弱性を突く今回のウイルス「WannaCry（ワナクライ）」の存在を知りながらサイバー兵器として秘匿していた。大きな被害をもたらすことになったのはそのせいだ、という。NSAのような政府機関はウイルス情報を外国政府へのハッキングに利用するのではなく、メーカー側に開示すべきだ、というのがマイクロソフトの主張だ。

だが、WannaCryを開発したのはNSAではない。NSAが開発したツールを正体不明のハッカー集団が悪用して開発した。NSAは図らずもその供給源になってしまっただけだ。

盗み出されたサイバー兵器

WannaCryを開発した犯人の正体は謎のままだが、初期の段階で疑われたのは北朝鮮だ。ロシアの情報セキュリティー企業カスペルスキーの研究者は、使用されたコードやツールの一部が、過去のサイバー攻撃で北朝鮮が使用したものと一致することを突き止めた。ただし同社はブログで、北朝鮮の仕業と断定するのは時期尚早と警告している。

WannaCryは「ランサムウエア（身代金要求型ウイルス）」と呼ばれる種類のウイルスで、感染したコンピューターのデータを暗号化して使えなくして、元に戻したければ身代金を払え、と要求する。すでに世界で20万台以上のコンピューターを感染させ、仮想通貨ビットコインで5万ドル以上が身代金として支払われた。

いったい、このハッカー被害の責任は誰にあるのか。

今年4月、自称「シャドー・ブローカーズ」という正体不明のハッカー集団が、NSAから盗んだと称するハッキングツールを公開した。その中にはウィンドウズ・ワードの脆弱性を悪用するコード「エターナル・ブルー」が含まれていた。ウィンドウズ・マシンからウィンドウズ・マシンへとウイルスを送りつけるコードだ。WannaCryの開発者は、NSAが使うこのハッキングツールを利用して、ランサムウエアの感染を広げるメカニズムを作り上げた。

【参考記事】NSAの天才ハッカー集団がハッキング被害、官製ハッキングツールが流出

つまり、マイクロソフトのソフトウエアの欠陥を突いて敵国を攻撃するために開発したNSAのサイバー兵器が、米政府の手をすり抜けてハッカー集団の手に渡り、金儲け用に作り替えられ悪用されたのだ。

【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音

マイクロソフトのブラッド・スミス社長兼最高経営責任者は日曜、「政府がソフトウエアの脆弱性を秘密にしているのは問題だということが改めて示された」と、ブログに書いた。「世界中の政府はこの攻撃を警鐘として受け止めるべきだ」

人権擁護団体も概ねマイクロソフトと歩調を合わせる。アメリカ自由人権協会会員のパトリック・トゥーミーは声明で、「ソフトウエアの脆弱性は自国の情報機関だけでなく、世界中のハッカーや犯罪者からも悪用されかねない」と述べた。

【参考記事】日本の「ホワイトハッカー」育成センター、その実態は？

スミスは2月、重要インフラやテクノロジー企業を標的とした国家によるサイバー攻撃を禁止する「デジタル版ジュネーブ条約」の締結を呼びかけた。各国政府がソフトウエアの脆弱性を敵対国へのハッキングに転用するのを禁じ、脆弱性の発見後速やかにソフトウエア開発企業に知らせる義務を負わせる。それにより、マイクロソフトのような企業は対応するパッチ（修正プログラム）をいち早く提供できるようになる。

3年前にサポートをやめた責任

だが、マイクロソフト側にも「不都合な真実」がある。同社はシャドー・ブローカーズがエターナル・ブルーを公開する1カ月前に対応するパッチを公表したが、それでもランサムウエアの感染拡大は止められなかった。では、マイクロソフトはどうしてエターナルブルーの存在を知ったのか。マイクロソフトもNSAも認めていないが、コンピューターの専門家は、NSAはハッキングツールの流出に気づいた時点で、マイクロソフトに警告したものと見ている。

対策が間に合わず感染が広がったのには、様々な理由がある。イギリスの国民保健サービス（NHS）の場合、かなりの台数のコンピューターでマイクロソフトが2014年にサポートを打ち切った「ウィンドウズXP」を使っている。全世界の5〜10％のコンピューターは今もXPを使用しているが、マイクロソフトはすでにプログラムの更新を止めていた。同社は土曜日、慌ててXP対応のパッチを緊急リリースした。

責任の一端は、システムを更新しなかった利用者やIT関係者にもある。だが様々な理由で、システムの更新自体が困難な問題を引き起こすのも事実だ。例えば先日、米アップルが提供したソフトウエアの更新では、iPad Proが起動しなくなった。月曜に中国でWannaCryへの感染が広がったのは、中国で人気の海賊版ソフトウエアは更新サービスを受けられないからだ。

コンピューター技術の進歩で、より安全なソフトウエアが提供されても、脆弱性はなくならない。コンピューター科学者の推計によると、コード1000行につき、15〜50のエラーは避けられないという。

コンピューターに対する脅威が広がる今、マイクロソフトなどは、ソフトウエアの脆弱性を見つけたらすぐに開示してくれるようNSAや情報機関に要請している。だがNSAの立場からすれば、そんなことをすれば情報機関だけが一方的に無防備になってしまう。NSAがそんなことをするはずはない。

スミスはブログで、NSAから脆弱性の情報が盗まれたのは「米軍がトマホークミサイルを盗まれたのと同じ」と批判した。だが米軍は、ミサイルを一基盗まれたからといって残りのミサイルを廃棄したりしない。同様に、どこかに協力なウイルスが流出したからといって、NSAが貴重なサイバー兵器を手放すことはない。

（翻訳：河原里香）

From Foreign Policy Magazine

【お知らせ】ニューズウィーク日本版メルマガリニューアル！

毎日配信のHTMLメールとしてリニューアルしました。

リニューアル記念として、メルマガ限定のオリジナル記事を毎日平日アップ（〜5/19）

ご登録（無料）はこちらから＝>>

エリアス・グロル