【WSJ社説】サイバー防衛にランサムウエアの警鐘
NSAは既定の手順守るも被害防げず
12日に発生した悪意のある自己増殖型コンピュータープログラムを封じ込めるため、少なくとも150カ国が今も対応
に追われている。この先例のない世界的な規模の攻撃は、世界がハッカーやデジタルテロリストの脅威にさらされてい
ることを改めて示した。
ロンドンから北京、モスクワに至るまで、世界の数十万のユーザーが「ワナクライ」と呼ばれる新種のランサムウエア
(身代金要求型ウイルス)に感染した。被害者はデータを暗号化され、復旧と引き換えに金銭を要求された。この洗練
された自己増殖型のマルウエアは、1台のマシンを感染させ、そこから同じネットワークにつながれた他の全てのコン
ピューターに感染を広げるよう設計されている。犯人は不明で、突き止めるまでに数年かかる可能性もある。
ワナクライの一件を受け、防衛機関の民間セクターに対する義務を巡る議論が再燃している。このウイルスは、国家
安全保障局(NSA)が昨年8月に特定した マイクロソフト の基本ソフト(OS)「ウィンドウズ」の欠陥を利用したものだっ
た。NSAはそうした脆弱(ぜいじゃく)性を突いてハッキングするコードを開発している。「シャドー・ブローカーズ」と名乗
るハッカー集団が昨年、NSAのデータベースからコードを盗み出し、ネット上で公開。それがワナクライの作成につな
がった。
マイクロソフトは、NSAがそのようなハッキング手法を研究していたことを非難している。しかし今回の場合、NSAは
「Vulnerabilities Equities Process(VEP)」という脆弱性の開示手続きを守っていた。VEPは情報収集のために開
示せずにおく欠陥と、消費者保護のために開示すべき欠陥とを特定する手順を定めたもの。NSAはマイクロソフトにも
警告していた。
マイクロソフトは3月に問題を修正するソフトウエアパッチを配布したが、OSをアップデートしていなかったユーザーは
脆弱な状態にあった。あまりにも多くの企業や政府機関で情報システム部門の対応が立ち遅れている。
米法執行当局はIT(情報技術)企業に対して、製品やサービスにひそかに侵入可能な「バックドア(裏口)」を設ける
ことを要求しているが、今回の一件はその愚かさを裏付けるものだ。2015年12月にカリフォルニア州サンバーナ
ディーノで起きた銃乱射事件の捜査で、連邦捜査局(FBI)が犯人のiPhone(アイフォーン)の暗号を解除できずにい
たとき、当時FBI長官だったジェームズ・コミー氏はアップルに公然と圧力をかけた。議会に対しても、法執行当局が暗
号技術を回避できるようにするためのバックドアの作成をIT企業に義務づけるよう求めた。ワナクライはコーディング
のミスを利用するものだ。意図的に設けたバックドアが暴露されたり、悪党の手に渡ったりすれば、さらに大きな惨事に
つながりかねない。
ワナクライの一件では、英国民保健サービス(NHS)の崩壊を目の当たりにした。英国の病院や診療所、救急車の
45%が機能不全になり、緊急救命医療でさえ満足に提供できない状態に陥った。ロシア内務省も被害に遭った。銀行
システムや電力網、交通信号、電子医療記録がサイバー攻撃を受ければ、経済や安全保障面の被害ははるかに甚
大になる可能性がある。
国防総省は2012年にサイバー司令部を立ち上げたが、この取り組みは官僚的な縄張り争いや責任範囲の不明瞭
さによって損なわれている。国防総省や国土安全保障省(DHS)、FBI、その他関係機関は2013年、サイバーセキュ
リティーに関するそれぞれの責任分担を明確にしたパワーポイントのスライドをたった1枚作るのに、75枚もの草稿を
必要とした。
技術の進歩はすぐに悪用され、戦争行為にさえ利用されるものだ。米国がサイバー防衛を近代化しない限り、次は
被害がもっと深刻化するだろう。