Windowsのセキュリティ更新、公共サービスなどで使用続けば継続提供必要か

WannaCryptの問題を受け、英政府通信本部元本部長のデビッド・オマンド氏がサポート期間終了後のシステムであってもMicrosoftのようなベンダーはセキュリティに責任を持つべきだと主張する一方、米国では上院議員2名が政府機関の発見した脆弱性の開示などに関する法案を提出している(The Registerの記事[1]、[2]、米上院国土安全保障・政府問題委員会のメディアリリース、法案: PDF)。

オマンド氏はWindows XPが数多く使われていた2014年の段階でMicrosoftがサポートを終了したのは早すぎたと考えているようだ。また、MicrosoftではWindows XPなどサポート期間が終了したOSについて、WannaCryptが悪用した脆弱性を修正する更新プログラムをカスタムサポート契約者以外にも提供しているが、1か月前に提供していればよかったとも述べているとのこと。

米上院国土安全保障・政府問題委員会委員長のロン・ジョンソン上院議員(共和党)とブライアン・シャッツ上院議員(民主党)が提案したのは、「Protecting Our Ability to Counter Hacking(PATCH) Act of 2017」というもの。法案では脆弱性の開示等について判断する委員会の設置が主題となっている。委員会は国土安全保障省(DHS)長官または長官が指名した人物が委員長を務め、捜査機関や諜報機関などの責任者が常任メンバーとなり、脆弱性を開示するかどうかに関するポリシーを確立することが義務付けられる。

開示のタイミングや開示先などについては、捜査・諜報活動で脆弱性を使用する必要性や、米政府機関以外に脆弱性が発見される可能性、悪用された場合の危険性などを考慮して判断することになるとのこと。今回、WannaCryptが使用したとされるエクスプロイトを流出させた米国家安全保障局(NSA)では、発見した脆弱性の中には公表せず情報収集に使用するものもあることを2014年に明らかにしている。
なお、オマンド氏と同様にWannaCryptの問題をWindows XPと結び付けて考える人も多いようだが、WannaCryptに感染したPCの大半はWindows 7だったようだ。Kaspersky Labによれば、感染PCの98%以上がWindows 7であり、約1.5%がWindows Server 2008 R2、Windows XPはわずかだったという。Microsoftが影響を受けないとしていたWindows 10も0.03%を占めているが、これは脆弱性を狙った攻撃ではなく、フィッシングメールなどから直接感染したものとみられる。また、Windows XP/Server 2003はランサムウェア自体には感染しても、エクスプロイトは正常に動作せず、リモートから感染したり、他のPCを感染させたりすることはないという話も出ている。

ちなみに、The Registerの記事[1]では重要な公共サービスで使われているPCのセキュリティ確保をMicrosoftに義務付けるべきかどうかという読者投票も行われており、反対が賛成の倍以上となっている。また、パッチの提供期間に関する投票では10年が多数を占めており、20年が続いている。スラドの皆さんのご意見はいかがだろうか。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | 政治 | Windows | 政府 | スラドに聞け！

　関連ストーリー：
Microsoft、Azureユーザー向けのWannaCrypt対策ガイダンスを公開 2017年05月20日
Microsoft、脆弱性情報をサイバー兵器として備蓄する政府を批判 2017年05月17日
被害が急増しているランサムウェア「WannaCrypt」は感染して数分で他のマシンに広まる 2017年05月17日