大規模サイバー攻撃、プログラムの出どころNSAの責任は?

「米軍のトマホークミサイルが盗まれたのと同じようなもの」

  • 2
  • 6
ビットコインで300ドルの支払いを求めるランサムウエアの表示画面(アバストのウェブサイトから)
 12日から世界各地を襲った史上最大規模のサイバー攻撃。ついに日本でも14日夜、病院などのパソコンでデータを暗号化し、身代金を要求するランサムウエアの感染が確認される事態となりました。そもそも100カ国以上という今回のサイバー攻撃の規模の大きさにも驚きですが、それにも増して、攻撃に使われたプログラムの出どころが米国防総省の諜報機関である国家安全保障局(NSA)だったという点にはもっとびっくりしました。

 NSAでは今回標的となった「エターナル・ブルー」というウィンドウズOS(基本ソフト)の脆弱性を逆手にとって、テロ対策を目的に監視活動に利用していたと言われています。

 もちろん、一番罪が重いのはサイバー攻撃を実行した犯人であることに間違いありません。次にそれと同じくらい悪いのはNSAから流出したそのプログラムを入手し、買い手がつかないため、「トランプ大統領に対する抗議」だと言って4月にネット上に無料公開した「シャドー・ブローカーズ」を名乗るハッカー集団でしょう。

 NSAはシャドー・ブローカーズの一件の真偽についてコメントを控えていますが、では、こうした攻撃プログラムを作り出したNSAの責任はどうなのでしょうか。

スノーデンの皮肉「NSAはパッチを作るか?」


 「ウィンドウズXPはマイクロソフトがパッチを当てるのを拒んでいるので、もしNSAがXPを攻撃するサイバー兵器を作り、それが敵の手に落ちたならば、NSAはパッチのプログラムを書くべきだろうか」
                


 現在ロシアに逃れ、2013年にNSAによる個人情報の大量収集と監視の実態を告発したNSAの元契約職員、エドワード・スノーデン氏は、サイバー攻撃のあった12日にツイッターでこうつぶやき、その責任がNSAにもあることを皮肉交じりに示してみせました。ちなみに、この記述とは違い、マイクロソフトは事の重大さに鑑みて、XPを含め古いOSの緊急パッチを今回配布しています。

 そのマイクロソフトのブラッド・スミス社長も14日、NSAや米中央情報局(CIA)といった政府機関がソフトウエアの脆弱性情報を保有していることを批判する内容の文章を同社の公式ブログに掲載しました。

 脆弱性を利用する技術をNSAが盗まれるという事態は「米軍が保有するトマホークミサイルが盗まれたのと同じようなもの」として、世界各国の政府組織が現実世界の兵器に適用されているのと同等の規制をソフトウエアの脆弱性にも適用するよう求めました。

「ウェブの生みの親」バーナーズ・リーの警告


 一方で、ワールド・ワイド・ウェブ(www)の生みの親として、インターネットの発展に多大な貢献をした英国人のティム・バーナーズ・リー。同氏は3月12日付の英ガーディアン紙に「ウェブを守るために変えなければならない3つのこと」と題した記事を発表しています。

 その中で、巨大企業や政府による個人情報の収集、ウェブ上で偽情報がいとも簡単に広がってしまうこと、政治のオンライン広告に必要な透明性と合意—という3点が、インターネットの未来に向けての課題だと指摘しました。

 当初、知的な交流を行うためのツールとして発明されたウェブは、コミュニケーションだけでなく、今や教育やビジネスのためのツールとしてデジタル社会になくてはならない存在。

 それどころか、質の高い個人情報をいかに多く収集することこそがビジネスの勝敗を左右するとばかり、ネットやアプリを駆使した情報収集活動が企業の主戦場になっています。

 こうした動きは、ほとんどすべてのモノがネットでつながり、データをやり取りするIoT(モノのインターネット)の時代に向けて、さらに加速していくことでしょう。

 今回のような大規模サイバー攻撃はあってはならない出来事ですが、不幸中の幸いと言えるのは、ランサムウエアの脅威を多くの人が認識したことで、毅然とした態度で身代金を払わなかったり、感染に注意したりする行動をとる効果が今後期待できる点。

 それに加え、攻撃の遠因となるプログラムを作り出したNSAのような組織の活動により目が向けられることで、蟷螂(とうろう)の斧とはいえ、違法な情報収集活動に社会的なプレッシャーをかける新たなきっかけになればと願っています。

 インターネットは、あたかも映し鏡のように、サイバー空間に存在するもう一つの現実世界と言えます。ただし、それは必ずしも安全ではないし、民主的な存在というわけでもない。バーナーズ・リー氏が主張するように未来に向けてその健全な発展を勝ち得ていくには、目先の利便性や利益だけに着目するのではなく、近代社会が戦争や犯罪を減らし、民主主義を勝ち取ってきたように、息の長い粘り強い作業が必要なのかもしれません。

日刊工業新聞電子版2017年5月15日

COMMENT

藤元正
モノづくり日本会議実行委員会
委員長

「自分たちは2カ月も前に脆弱性に対するパッチを公開し、アップデートを呼びかけていた。今回のサイバー攻撃でも社員が日夜懸命に対処している」「サイバーセキュリティーはIT企業とユーザーが責任を共有することで達成される」。マイクロソフトのスミス社長がこうブログに書きつづり、返す刀で脆弱性技術をひそかに保有していたNSAなど政府機関を批判したかと思ったら、今度はニューヨークタイムズはじめ米メディアから、当のマイクロソフトの責任を問う記事が出てきました。サポート打ち切りの製品は絶対使えないようにすべきなのか、そもそも脆弱性を持つ中途半端な製品を世に出すIT企業が悪いのか、今回のサイバー攻撃を機に責任の所在にとどまらず、末永く利用するソフトウエア製品のあり方について議論を深めていくことも必要だと思います。

関連する記事はこちら

特集