NHK 解説委員室

解説アーカイブス これまでの解説記事

「世界規模のサイバー攻撃 問われる"IT社会のもろさ"」(時論公論)

2017年05月17日 (水)

三輪 誠司  解説委員

5月12日から広がったサイバー攻撃がはおよそ150カ国で、大きな被害をもたらし、コンピューターネットワークに依存している現代社会のもろさを私たちに突きつけました。今夜は、そのもろさの原因を検証するとともに、その原因をどのようにしたら取り除くことができるのか考えます。

j170517_00mado.jpg

今回のサイバー攻撃は、30万台のパソコンが被害にあうという数の多さだけでなく、社会生活や経済活動にも影響したことが、これまでになく深刻な被害であると言えます。

j170517_02.jpg

イギリスでは20以上の国営の病院が診療の予約をキャンセルしたり、救急搬送の患者を受けられられなくなったりしました。
フランスでは自動車メーカー・ルノーの国内最大の工場が生産停止に追い込まれ、国内では日立製作所がシステム障害を引き起こしました。

j170517_03_0.jpg

j170517_03_1.jpg

このサイバー攻撃は、コンピューターウイルス「WannaCry(ワナクライ)」のばらまきです。パソコンに感染すると内部に保存されている、ワープロの文書、データベース、画像などさまざまなデータを勝手に暗号化して、利用できなくします。

j170517_04_1.jpg

そして「元に戻してほしかったら、金を支払え」と、身元が特定されにくい仮想通貨のビットコインでおよそ3万円を要求する脅迫文を表示します。現段階では、自力でこのデータを元に戻すことはできません。このタイプのウイルスは「身代金要求型」という意味の「ランサムウエア」とよばれ、3年ほど前から世界的に流行している種類です。犯人についてはわかっていません。今回のウイルスが爆発的な被害になったのは、複数のパソコンを利用している企業の中で爆発的な感染を広げる機能を組み込んでいたからです。

これまでのランサムウエアは、感染したパソコンの中にとどまります。しかし、このウイルスは企業内のネットワークを通じて自動的に自分のコピーを広げてしまいます。接続しているだけで感染するこの機能は、日立製作所のシステム障害の原因にもなっていると考えられています。

しかし、どんなパソコンにも感染するわけではありません。マイクロソフト社の基本ソフト「ウィンドウズ」の欠陥が放置されたパソコンに感染します。

j170517_05.jpg

欠陥を直すには「パッチ」という修正ソフトが使われますが、今のウィンドウズでは自動的にインターネットから組み込まれます。

j170517_06_0.jpg
j170517_06_1.jpg

しかし、ウィンドウズXPなど、サポートが切れた古い製品には、パッチが作られず、欠陥が放置されます。
実は、企業・団体の中には、こうした脆弱なシステムを利用し続けているところが少なくありません。それは、古いウィンドウズでないと動かない業務用ソフトを利用しているケースです。また、新しいウィンドウズでも、パッチを適用すると動かなくなる業務用ソフトがあるため、わざとパッチを入れない企業もあり、今回はそうした企業を狙った攻撃でした。今回大きな被害を受けたイギリスの国営病院もウィンドウズXPを使い続けていたと伝えられています。

j170517_07.jpg

欠陥が修正されていないパソコンを使うと、サイバー攻撃を受けやすいことは繰り返し指摘されていましたが、今回、そのリスクは社会に影響を与えるほどに大きいことが証明されました。「インターネットに接続していないので大丈夫」と答える企業もありますが、緊張感に欠けると言われても仕方がありません。今の時代、どんなパソコンでも何らかの社内ネットワークには接続されていることが多く、USBメモリーなどを通じてウイルスに感染するケースもあります。古い基本ソフトしか動かない業務システムは、費用を投じて作り直していくことが、情報セキュリティーに対する社会な責任です。

j170517_08.jpg

この点については、マイクロソフトなどのソフトウエアメーカーも、サポートに対する考えを改める必要があると思います。サポートを打ち切って、新しいソフトウエアを購入せざるを得ないようにするメーカーの姿勢を嫌い、使おうと思えば使える古いソフトを利用する人は、少なくありません。ことし3月の時点でウィンドウズXPを使っている人がネットユーザーの7パーセント以上あるという報道もあります。マイクロソフトは、民間企業が、特定の製品のサポートを永遠に続けることは無理で、セキュリティー強化のためにも新しく作り直した基本ソフトを利用してほしいと説明しています。しかし、今回のサイバー攻撃を受けて、ウィンドウズXPなど向けのパッチを、ようやく配布したことを考えると、本来は、重大な欠陥が見つかった3月の時点で、すぐに利用者を支援するべきでした。
それは基本ソフトというインフラを提供する企業の責任だといえます。

j170517_09.jpg

もうひとつ指摘する必要があるのは、情報公開の必要性についてです。今回、被害にあった企業に、感染したパソコンをどのように使っていたのか聞いたところ、「セキュリティーに関わることなので一切教えられない」と回答したところがあります。システムの詳細なセキュリティー対策を公開することは問題があるにしても、感染経路さえも全く公開しません。これでは、インターネットを利用する私たちは、何に気をつけたらいいのかまったくわかりません。

情報セキュリティー業界の秘密主義は、これまでも多くの現場で横行していますが、多くのユーザーを危険にさらします。

j170517_10_1.jpg

具体例としては、日本年金機構の情報流出です。個人情報を流出させたウイルスに感染したきっかけは、「医療費のお知らせ」というタイトルの偽の電子メールでしたが、実は半年以上前から多くの企業が受け取っていたものでした。しかし、受け取っていた企業がそれを隠し、十分な注意喚起が行われていなかったため、年金機構はこのメールに注意することができずに感染してしまったのです。サイバー攻撃については、対策に落ち度があったために被害を受けるケースが少なくないため、経緯を公表することをためらうのもわかります。それならば、業界団体や国が被害をとりまとめ、匿名の形で公表できるはずです。一般のインターネット利用者が同じ被害にあわないよう、情報公開の仕組みを早急に構築する必要があります。

情報セキュリティー対策は、自分の組織だけを守ればいいわけではありません。
サイバー犯罪組織は、対策の弱いシステムを狙って攻撃し、ネット全体に被害を広げていくからです。インターネットなしでは成り立たない今の社会が混乱することのないよう、利用者をサポートし合う幅広い対策を求めます。

(三輪 誠司  解説委員)

キーワード

関連記事