シリコンバレーの3つの新興企業でシステム管理者を務めてきたThomas Leavittは、これまでにもコンピュータワームやウイルスに対処した経験がある。
しかし先週のSobig.FとMSBlast.Dの攻撃の深刻さを受け、Leavittはウイルス対策を今までにないほど真剣に考させられることとなった。匿名の作者を見つけて処罰することは、対策の手始めにはなるだろう。しかし、米Microsoftにも責任の一端はないのだろうか?
「土木技師がミスを犯すことは滅多にないし、もしミスなど犯せば、間違いなくエンジニアとして命取りになる。ところで、いま我々が使っているソフトウェアにも、土木工事のミスと同程度かあるいはもっとひどい被害をもたらす危険性がある」(Leavitt)
Microsoft製品に存在するセキュリティ上の欠点は、世論という裁きの場で繰り返し叩かれているかもしれない。だが、現行の製造物責任(PL)法が改められない限り、その欠点が法廷で試されることはないだろう、という点で法律の専門家の見方は一致している。
何かと訴訟好きな米国では、物理的な製品に見つかった問題に関して、賠償額や和解金額が数百万ドルに上ることも決して珍しいことではない。しかしソフトウェアメーカーは、エンドユーザーライセンス契約(EULA)--収縮包装された製品外箱に印刷されたり、ソフトウェア自体に組み込まれていることが多いので、「シュリンクラップ」ライセンスと呼ばれる--という典型的なソフトウェアライセンスに記された異常な免責条項のおかげで、製品欠陥の訴えからほぼ守られているのだ。
こうした契約は通常、製品をインストールする条件として発効し、たいてい欠陥を理由に訴訟を起こす権利の放棄を顧客に求めているものだ。また、そんなEULAを法廷は何度も支持している。
「誰かが負傷や死亡でもしないかぎり、ソフトの欠陥を理由にソフトウェアメーカーを訴えて勝つことはほとんど不可能だ」とCem Kanerは言う。同氏はFlorida Institute of Technologyのコンピュータサイエンスの教授を務め、また弁護士でもある。「主にソフトウェアメーカーの責任をさらに減らすことを目的とした、ソフトウェア法の改正が真剣に提案されている。ごく最近では、組み込み型ソフトウェアに関する議論があった。自動車を購入すると、ブレーキや燃料噴射器などを制御するソフトウェアが、車のボディーに適応される法律とは違う、もっとメーカーに有利な法律でカバーされるといった事態に、間もなくなる可能性がある」(Kaner)
米調査会社のComputer Economicsは、今月だけで75種類程度のウイルスが新たに見つかると予想している。そのなかには、大きな被害をもたらしているMSBlast.DやSobig.Fもある。同社では2003年8月のコンピュータ攻撃から生じた被害額を約20億ドルとみている。同社によると、2000年に流行したLovebugウイルスからの被害額には遙かに及ばないものの、これは記録破りのペースだという。ちなみにLovebugは、失われた生産性やシステム回復費用などを合わせ、推定で80億ドル分の被害をもたらした。
先週には、MicrosoftがInternet ExplorerとWindowsに、また別の脆弱性が見つかったことを明らかにし、先月見つかったMSBlastがつけ込む脆弱性を修正するためのパッチ適用を両ソフトのユーザーに求めたことで、同社製品にセキュリティ上の問題があることを協調することとなった。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」