5月12日以降、150カ国以上でシステムを無力化させた世界規模のランサムウェア攻撃が沈静化に向かう中、 米国政府がソフトウェアの脆弱性をひそかに収集、公開する手法が、またもや厳しい視線を浴びている。

ウィンドウズXPの脆弱性が悪用されたワナクライ（WannaCry、別名ワナクリプト：WannaCrypt、ワナディクリプター：Wanna Decryptor）と呼ばれるランサムウェア・ウイルスによる攻撃を巡っては、規模と影響力の大きさからマイクロソフトへの非難の声が上がっている。ただし、マイクロソフトはウィンドウズXPのOSサポートを2014年に停止しており、使用期限切れのウィンドウズXPを使うユーザーは自らリスクを背負っている。脆弱性が悪用されていることに気づいたマイクロソフトは、速やかにバグの修正パッチをリリースしたが、こんなに古いソフトウェアを対象とするのは異例の措置だ。

マイクロソフトのブラッド・スミス社長兼CLO（最高法務責任者）は、今回の攻撃が、ハッカー集団「シャドウ・ブローカーズ」が米国国家情報局（NSA）から盗み出したハッキングツールを利用したものと見られることから、事件の責任は米国政府にもある、と述べた。スミス氏はブログ記事の中で、発見した脆弱性を公表しない政府の対応を批判した。「政府には脆弱性の秘匿や悪用が一般市民に与える影響について、考慮してもらわなればなりません」 。

ソフトウェアの重大な脆弱性を開示するか伏せておくか、両者のリスクを検討し、決定を下す手続き手順として、米国政府には脆弱性公平プロセス（VEP）がある。しかし、VEPがどのようにして運用されるのか、一般市民はほとんど理解していない。プライバシー擁護団体は以前から透明性の向上を訴えているものの、ごくわずかな成果しか挙がっていない状況だ。

VEPは2010年から存在していたと考えられているが、存在は2014年まで公表されていなかった。ブルームバーグは2014年、深刻な広まりを見せたインターネット通信暗号化ソフトの脆弱性「ハートブリード」の存在をNSAが数年前から認識しており、諜報活動に活用していたと報じ、ホワイトハウスと国家情報長官はそれぞれ報道を否定する声明を発表した。オバマ政権でサイバーセキュリティ調整官を務めたマイケル・ダニエル氏は、当時の政権では「脆弱性の開示に関して、厳格かつ規律に則った、高度な意思決定プロセスを設けたのです」と主張した。

ダニエル調整官は当時、脆弱性に関する情報を政府が秘匿しておくべきか否かは「明白だと思う人もいるかもしれません」と述べる一方、「現実はもっと複雑なのです」とも言った。脆弱性を開示すれば、米国は 「テロリストの攻撃を阻止できる重要な情報を収集するチャンスを逃す」ことになるかもしれない」。それにもかかわらず、オバマ政権の政府の意思決定プロセスは「責任を持って脆弱性を開示することに偏っていたのです」。

2016年1月、電子フエロンティア財団（EEF）が情報公開法に基づいて起こした訴訟のおかげで、政府は一部編集したVEPの説明文書を公開した。しかし、具体的にどのようにして意思決定がなされるのか、誰が決定を下すのか、政府が公表していない脆弱性がいくつあるのかは、依然として不明だ。コロンビア大学所属研究員で、シンクタンク大西洋評議会のジェイソン・ヒーリー上級特別研究員は直近で秘匿されている脆弱性の数は数十に上るだろうと見積もった。

政府の基本方針は情報開示だと、ダニエル調整官は明言したが、最近の出来事により、VEPが本当にこの方針に沿って運用されているのか疑問が生じている。最近発表された論文の中で、ヒーリー上級特別研究員は、聞き取り調査やVEPに関する政府の公式声明にもとづき、NSAは「ほぼ確実に」、前回の情報漏えいの際に脆弱性を開示しておくべきだった、と結論付けた。シャドウ・ブローカーズによる前回の漏えい事件では、シスコシステムズ、ジュニパー、フォーティネットを始めとする企業が被害を受けた。また、米国連邦捜査局（FBI）も、昨年サンバーナーディーノのテロ銃撃犯のiPhoneをロック解除した際に活用した脆弱性についてアップル知らせるべきだったと、ヒーリー上級特別研究員は論じている。

残念ながら、透明性の改善とそれに伴う説明責任が果たされる見込みは薄い。VEPは連邦政府の行政執行機関によって支配されており、市民に開かれた形での監視を何ら受けていないからだ。トランプ政権が改革を決定しない限り、情報が一般に開示されることはなさそうだ。それは次の大規模サイバー攻撃が発生したときになるだろう。

 

• 13
• 11
• 5
• 0

人気の記事ランキング

1. It’s time to address the looming crisis in entry-level work. 「コーディングを学べ」もう通用せず、AIが若者の雇用を奪い始めた
2. Promotion Call for entries for Innovators Under 35 Japan 2026 「Innovators Under 35 Japan」2026年度候補者募集のお知らせ
3. China has approved the world’s first invasive brain-computer chip—here’s what’s next 中国、BCIを国家戦略に 世界初の商用化で イーロン・マスクにも先行
4. Anthropic’s Code with Claude showed off coding’s future—whether you like it or not 「Claudeに任せてしまおう」 たった1年で激変したソフトウェア開発
5. A reality check on the AI jobs hysteria 「ホワイトカラー消滅」 まだデータに兆候なし ——ただし若者に警戒信号