「今回の攻撃の拡散ぶりは、多くの組織で今回の事件に関するような重大な脆弱性の修正が進んでいないことを示唆している」。米情報セキュリティー会社アノマリーのセキュリティー戦略部長で、かつて米エクソンモービルの情報セキュリティーを監督していたトラビス・ファラル氏はこう指摘する。「今回の感染の潜在的影響を考えると、緊急性の高い脆弱性を速やかに修正する手続きを確保し、こうしたタイプの攻撃に屈しない優れた業務継続計画を構築することが、全ての組織の最優先事項だ」と明言した。
スミス氏もMSの顧客に対し、この点をはっきりと指摘している。
■修正ソフト公開2カ月後も脆弱なままのパソコン
「今回の攻撃は、サイバーセキュリティーがIT(情報技術)企業と顧客との共同責任になったことを示している」と断言。「修正ソフトが公開された2カ月後でも多くのパソコンが脆弱なままだったという実態が、これを物語っている。サイバー犯罪は高度化しているため、顧客が自分のOSを更新する以外に脅威から身を守る手段はない。そうしなければ、文字通り昔のツールで今の問題に立ち向かうことになる。今回の攻撃を受け、パソコンを最新の状態に保ち、脆弱性を修正しておくことがあらゆる人にとって重大な責務であり、あらゆる最高幹部が対処すべきことだという『ITの基本』を改めて認識した」と述べた。
ワナクライの被害阻止は一定の成果を上げているようだが、脆弱性はまだ完全に解消されたわけではなく、新たな変異型が広がれば、サイバー攻撃の波が再び押し寄せるだろう。結局のところ、攻撃を阻止する最善かつ唯一の確実な手段は、脆弱性を持つパソコンを1台残らず更新し、修正することだ。これは気が遠くなるような作業で、各国政府や企業、非政府組織に近いうちにこれを成し遂げられるだけの資源があるかは定かではない。
だがやはり、今回の脅威の実際のきっかけは、米国家安全保障局(NSA)がこのタイプの脆弱性を発見するために予算を組んだにもかかわらず、監視活動で使うためにその脆弱性を秘密にしていた点にある。これによりハッカーが脆弱性を見つけ、その詳細を世界に公表する事態を招いた。
スミス氏が心からの怒りの矛先を向けたのはこの点だ。
スミス氏は「世界各国の政府は今回の攻撃を警告と捉えるべきだ」と指摘。「各国は方針を転換し、現実の世界で武器に適用しているのと同じルールをサイバー空間でも守らなくてはならない。政府はこうした脆弱性を放置し、弱点を利用したことに伴う民間人へのダメージを考慮しなくてはならない」と訴えた。
もちろん、今回の一件でユーザーやプログラマー、政府当局者の行動が実際に変わるかは分からない。適切な予防措置の維持を怠れば、かなりの組織が大きな法的責任を問われる可能性がある。訴訟で破綻寸前に追い込まれなければ、サイバーセキュリティーを巡ってまん延している油断は変わらないだろう。
それでもなお、大規模なハッキングや侵入を受けてわめいたり歯ぎしりしたりする事態は絶えない。効果をもたらすほど急速に変化が起きることはめったにないからだ。
われわれはテクノロジーの危険性や、つながる世界に暮らすリスクについて騒ぎ立てることはできる。だが結局、多くの浅はかな人間の愚行が積み重なって、最悪の事態を招くのだ。
By Chris O’Brien
(最新テクノロジーを扱う米国のオンラインメディア「ベンチャービート」から転載)