基本ソフトの脆弱性を「蓄積」

　世界１５０カ国でコンピューターウイルス「ランサム（身代金）ウエア」によるハッキング被害が確認されたことを受けて、コンピューターソフトの脆弱（ぜいじゃく）性を知っていながら、隠していたとして、情報機関への批判が高まっている。

　このランサムウエアは「ワナクライ」などと呼ばれ、マイクロソフト社の基本ソフト（ＯＳ）の脆弱性を突いたもの。米国家安全保障局（ＮＳＡ）が「エターナルブルー」と名付けた脆弱性を悪用したものとみられている。

　ボサート米大統領補佐官（国家安全保障・テロ対策担当）によると、これまでにハッカーに支払われたのは７万㌦以下。攻撃の背景について捜査が進められており、ロシアのサイバー犯罪組織が関与しているという見方がある一方で、北朝鮮の関与を示唆するサイバーセキュリティー企業もある。

　米マイクロソフトのスミス社長は「攻撃に使われたランサムウエアは、ＮＳＡから盗み出された（脆弱性を基に作られた）もので、それは今年初めに明らかにされていた」と指摘した。

　ニューヨーク・タイムズ紙によると、自称「シャドー・ブローカー」という組織が昨年夏から、ＮＳＡから手に入れたツールをネット上に投稿していたという。これが事実なら、サイバー犯罪組織がＮＳＡから入手したデータを、犯罪に使用した最初の例となる。

　スミス氏は、スパイ活動に利用するためにコンピューターの脆弱性を「蓄積」しているとＮＳＡを非難。情報機関は、脆弱性を把握していながら、国外のコンピューターに対する情報収集能力を維持するために、ソフトウエアメーカーに知らせてこなかったと批判を受けている。

　ボサート氏は会見で、ＯＳの脆弱性を情報機関は利用しているのかという質問には答えず、「ワナクライは、米政府ではなく、犯罪組織が作り上げたツールの一部としてこの脆弱性を悪用した」と指摘した。

　ＮＳＡは、世界でも最も優れたサイバー侵入能力を持ち、中国、ロシアなどサイバー大国と同様、サイバースパイ、サイバー攻撃に利用できるセキュリティー上の欠陥を発見する専門家チームを持っている。

　スミス氏は「この攻撃で、意図的ではないが、国家と犯罪組織という二つの最も深刻なサイバーセキュリティーへの脅威の間に関連があることが明らかになった」と指摘、これは政府の脆弱性の利用への警鐘であり、「デジタル版ジュネーブ条約」を作り、規制すべきだと訴えた。

　戦略国際問題研究所（ＣＳＩＳ）のサイバーセキュリティー専門家、ジェームズ・ルイス氏は「情報機関がサイバー空間で行儀良く振る舞うべきかどうかをめぐる議論にすぐに結論は出せない」とした上で、「サイバースパイ活動の規制は必要かもしれないが、すべての国が順守しなければ効果がない。中国とロシアが順守するかどうかは疑問だ」と規制の必要性を訴えながらも、その有効性に疑問を呈した。