オンラインの安全を守るために求められる協調的なアクション:先週のサイバー攻撃からの学び


Posted by: ブラッド スミス (Brad Smith) プレジデント兼最高法務責任者

 

先週金曜日の早朝、世界は大規模なサイバー攻撃を経験しました。

悪意のあるソフトウェア “WannaCrypt” が、英国とスペインから始まって急速に世界中に広まり、Bitcoin による身代金を支払わないユーザーのデータ利用を妨害しました。WannaCrypt が攻撃に悪用した脆弱性は、米国のNSA(National Security Agency:国家安全保障局)から漏洩した脆弱性情報に基づくものです。この漏洩事件については既に公表されていました。その1 カ月前の 3 月 14 日には、マイクロソフトはお客様をこの脆弱性の悪用から守るためのセキュリティ更新プログラムを公開していました。このため、このアップデートを適用するよう Windows Update を設定していた比較的新しい Windows システムは保護されましたが、世界中に未対策のままのコンピューターが多く存在しました。その結果、病院、企業、政府機関、そして、家庭のコンピューターが影響を受けました。

これは、サイバー攻撃の一形態である「ランサムウェア」としては今までで最も深刻な事例です。残念なことですが、消費者やビジネスリーダーは、個人やインフラに攻撃を行うためのツールの一部である「ゼロデイ」や「フィッシング」という用語になじみを持つようになりました。マイクロソフトは、Windows に対するあらゆるサイバー攻撃を真剣に受け止めており、金曜日以降、24時間体制でこの事件に影響を受けたお客様の支援を行っています。また、既にサポート終了となっている旧システムのユーザーを支援するために追加の対策を採ることにしました。この攻撃に対応し、被害を受けたお客様を支援することがマイクロソフトの最も優先するプライオリティであることは明らかです。

同時に、将来における同様の攻撃を避けるため、“WannaCrypt” 攻撃から広範で重要な教訓を考える必要があります。今回の事件は、3つの点で、マイクロソフト、そして、業界全体が改善を行うための機会を提供してくれたと私は考えています。

テクノロジ企業として、マイクロソフトはこれらの課題に最初に対応する責任を有します。実際、インターネットでの攻撃に対してマイクロソフトが最初に対応を行うケースが増えています。マイクロソフトには、3,500 名以上のセキュリティエンジニアがおり、サイバー攻撃の脅威に対応するための総合的対策を採っています。これには、サイバー攻撃を検知・防止するための Advanced Threat Protection への継続的アップデートなど、マイクロソフトのソフトウェアプラットフォーム全体における新セキュリティ機能が含まれます。今回のケースでは、セキュリティ更新プログラムの開発と公開が 3月に行われ、WannaCrypt 攻撃を検知するためのWindows Defender のアップデートが金曜日に行われ、攻撃により影響を受けたお客様の支援がマイクロソフトのお客様サポートスタッフにより行われました。

マイクロソフトは今回の攻撃を評価し、どのような教訓を学ぶことができるかを自問し、それらの教訓を自社の能力強化のために適用していきます。Microsoft Threat Intelligence Center (MSTIC) と Digital Crimes Unit を通じて、マイクロソフトが得た教訓を司法機関、政府、そして、世界中のお客様と共有していきます。

第二に、今回の攻撃は、サイバーセキュリティがテクノロジ企業とお客様との共同責任であることを示しました。セキュリティ更新プログラム提供から 2カ月経過後も、多くのコンピューターの脆弱性が解消されていなかったという点がこの課題を表しています。サイバー攻撃が高度化するに従い、お客様によるシステムのアップデートなしには脅威からの保護が受けられなくなっています。アップデートなしでは現在の問題に対して過去のツールで戦っていることになってしまいます。今回の攻撃は、コンピューターを最新状態にし、セキュリティ更新プログラムを適用するという情報技術の基本事項があらゆる人にとっての責任であることを強く思い知らせてくれました。そして、これは、すべての経営者が支援すべき事項でもあります。

同時に、マイクロソフトは、今日の IT 基盤の複雑性と多様性を明確に理解しており、多くのお客様にとってアップデートの適用が実務上の困難な課題になっていることを認識しています。現在、マイクロソフトは、IT基盤の迅速なアップデートを可能にするために堅牢なテストと分析を使用しており、すべてのIT環境に迅速にセキュリティアップデートを適用するためのさらなる手段の開発に腐心しています。

最後に述べたい点として、この攻撃は政府機関における多数の脆弱性情報の蓄積が大きな問題であることをさらに示すことになったということがあります。これは、特に2017年から見られ始めたパターンです。CIA における脆弱性の利用が WikiLeaks で暴露されました。そして、今回の事件ではNSAからリークされた脆弱性情報が世界中のお客様に影響を与えています。政府機関が所有していた脆弱性情報がリークされ、広範な被害がもたらされるケースが繰り返されています。いわば、米軍のトマホークミサイルが盗まれたようなものです。そして、今回の攻撃では、今日のサイバー攻撃の 2つの重大な形態、つまり、国家による行為と組織犯罪との間に、まったく意図していなかった不都合なリンクがあることが示されました。

世界中の政府機関は今回の攻撃を警告ととらえるべきです。今までとは異なるアプローチを採り、サイバースペースにおいても物理的世界の武器と同じルールを適用すべきです。マイクロソフトは、政府機関がこれらの脆弱性情報を蓄積し、利用することによって、民間人が受ける被害を考慮すべき必要があると考えます。これが、2月にマイクロソフトがこれらの課題を議論するための “Digital Geneva Convention” (デジタルにおけるジュネーブ条約)を提唱した理由です。そこでは、政府機関が脆弱性情報を蓄積したり、販売したり、利用したりするのではなく、ベンダーに報告するという新たな要件を呼びかけました。そして、これが、マイクロソフトが国籍にかかわらずあらゆるお客様を保護するための支援にコミットしている理由です。この週末は、ロンドン、ニューヨーク、モスクワ、デリー、サンパウロ、北京のどこであろうと、マイクロソフトはこの理念を実行し、世界中のお客様と協力しております。

私たちは、今回の攻撃を迅速に共同行動を始めるための新たな契機ととらえるべきです。サイバー攻撃からの防御のためには、テクノロジセクター、お客様、そして、政府機関が協力する必要があります。さらなるアクションが今必要とされています。この意味では、WannaCrypt 攻撃は私たちすべてにとっての警鐘を鳴らしたと言えます。マイクロソフトは、この危機への対応を支援する責任を認識しており、その履行にコミットしています。

---

この記事は 2017 年 5月14日に Microsoft on the Issues に投稿された記事の翻訳です。最新情報については、翻訳元の記事をご参照ください。本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

Skip to main content