ランサムウェア「WannaCry」は5月上旬にインターネット上で爆発的に流行し、世界中の「Windows」マシンに大規模な被害をもたらした。
初期の拡散は収まり、PCへのパッチ適用も進んでいるが、業務の停止を余儀なくされた病院や小規模企業などにとっては痛手となった。300ドルまたは600ドルの身代金を支払った人は数百人にのぼる。
しかも、WannaCryは今なお進化を続けている。
150カ国で30万台以上のコンピュータをロックしたWannaCryとの戦いで最前線に立っていたセキュリティ業界は、ユーザーが震え上がるような警告を出していると思われそうだが、不思議なことに、実際にはそうでもない。
The Wall Street Journalがロンドンで現地時間5月25日に開催した「Cybersecurity Executive Forum」で、各参加者がまず口にしたのはWannaCryだったが、このランサムウェアに関する議論は落ち着いていて、楽観的だった。
「WannaCryは大きくなりすぎた。成果はあがっていない。失敗だったということだ」。サイバーセキュリティ企業F-Secureの最高研究責任者、Mikko Hypponen氏はこのように述べる。
WannaCryは、金銭目的の攻撃としては、的を大きく外している。警戒の網をかいくぐって実行される標的型ランサムウェア攻撃とは違って、利益は非常に小さかった。数百万ドルどころか、数万ドルという単位だ。
「攻撃者ですら、自分たちが使った武器の効力がわかっていなかった。WannaCryは無差別に拡散していった」。Kaspersky Labのシニアセキュリティリサーチャー、Juan Andres Guerrero-Saade氏の意見だ。
コードを調査した専門家らは、WannaCryは準備が整わないうちに実環境に出てしまったものと考えている。「実に幸運だった。何もかもが予定どおりに動いていたら、被害はもっと大きかったはずだ。あるいはその可能性があっただろう」(Guerrero-Saade氏)
攻撃の被害にあった人たちも同じ意見なのだろうか。英国の国民健康保険サービス(NHS)のセキュリティ責任者を務めるDan Taylor氏に聞いた。NHSは、初期に最大級の被害が出た組織の1つだ。
「実際のところ、起こり得る最悪の事態というわけではなかった」。Taylor氏は前述のフォーラムで聴衆にこう語っている。
同氏はサービスに支障が出たことは認めているが、NHSのシステムに長期的な影響はなかったという。「多少不気味ではあったが、今回得た教訓を活かして、今後はもっとうまく対処できるだろう」(Taylor氏)
WannaCryの攻撃を受けたとき、Taylor氏はNHS Trust(独立運営している医療サービスの各種組織)に対して、身代金を支払わないよう通達したが、命令として徹底することはできなかった。WannaCryの影響を受けた他の多くの組織と違い、NHSで大切なのはデータではなく人、往々にして急を要する事態に置かれている人々だ。「治療を必要とする患者を扱っている。『払うな』とは言わない。選択肢がない場合もある」。Taylor氏はこのように語った。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス