MS社はOS切り替えを「商売」としてではなく、「責任」として実施すべきだ。
- 2017/05/15
- 05:10
感染が広がっているのは「ランサム(身代金)ウエア」と呼ばれる。メールの開封などを通じて感染させたコンピューターの中の書類、動画、データベースなど幅広い種類のファイルに暗号でカギをかけ、解除と引き換えに身代金を要求する。1台が感染するとネットワークを通じて別の端末へと感染が広がる。
ウェインライト氏は、被害の世界的な広がり具合を「前例がない」と指摘。医療機関などのヘルスケアセクターは患者のデータなどの機密情報を扱うにもかかわらず、「多くの国で攻撃されやすい」といい、対応が不十分だったことが英国の国民保健サービス(NHS)での被害拡大につながったとみている。
半面、金融機関で目立った被害が出ておらず、過去の経験をもとに対応を進めてきたことが奏功したとの考えを示した。
一方、MSは「XP」「8」「ウィンドウズサーバー2003」などサポート終了済みのOS向けに「セキュリティーパッチ」と呼ばれる欠陥修正ソフトを公開した。サポート対象のOSは3月に修正ソフトを公開済み。通常、サポート終了後はソフトウエア更新は受けられないが、古いOSのパソコンが被害拡大の一因となったのを受け「潜在的な影響を踏まえた措置」を講じた>(以上「日経新聞」より引用)
世界で150ヶ国,20万件以上もサイバー被害を受けたのは対象OSが世界で最も売れているWindowsだったことも挙げられる。Windowsは世界で圧倒的シェアを占めるOSを販売しているが、過去販売したOSをサポート終了として脆弱性を放置していたことも被害を大きくした。
特に最も売れたXPはサポート期間がとうに終了したが、現在でも多くの法人で使用されている。その要因は法人で開発したソフトがその後にMS社が販売したOSで動かないことから、XPをそのまま使用し続けているケースが多いことにもよる。
MS社はXP以後に開発したSを出す場合、有料として販売したため新規OSがXPに速やかに置き換わらなかったことにも着目すべきだ。さらに概ね3万円から4万円以上もするVistaやWIn7を購入しても、XPより高機能化しただけOSが重くなり、PC本体も買い替えなければならない事態になったのも、OSの切り替えを遅くした。
個人なら一台の購入で済むが(それも手痛い出費だが)法人の場合はサーバーのみならず数十台から数百台ものPCを買い替えなければならない。その出費は莫大で、システムを組み替える必要にも迫られる場合は更に負担が大きくなる。
サイバー攻撃から法人のシステムを守るには新規OSに切り替えるのが必要だが、XPからそれ以後の新規OSに切り替えるハードルは高過ぎた。そうしたこともあってか、MS社は現在の最新OSであるWin10はWin7とWin8及び8.1からは無料でsetupできるような措置を講じた。
しかし世界的にビックビジネスとなったXPの脆弱性の改善は永続的に行うべきだった。そしてXPから新規OSに切り替えを望む者に対しては無料もしくは廉価な価格で対応すべきだった。
かねてから私はOSは本来「無料」とすべきだと主張してきた。OSはPCと切り離して販売すべきものではないし、最初からPCに組み込んでなければPCは単なる電子回路の詰まった箱に過ぎない。
全自動洗濯機がマイコンが組み込まれていなければ「全自動洗濯機」でないのと同じだ。人が生きていくために大気が必要なのと何も変わらない。しかしMS社は基本OSを高額な商品として売り出した。それによりMS社は巨額な利益を上げ、経営者だったビル・ゲイツ氏は世界随一の大富豪になった。
有料で販売したOSに関して、製造販売者の責任として利用者が一人もいなくなるまで無料でサポートすべきだった。MS社は製造販売者責任を放棄したツケが購入者に対するサイバー攻撃として現れた事実をしっかりと受け止めるべきだ。遅ればせながらXPの更新セキュリティーを配信しているようだが、MS社の独善的な商売が招いたサイバー危機の責任の一端はある。
日本政府は日本国民や企業が世界的なサイバー攻撃を今後は永続的に受けないような措置を講ずべきだ。Windowsが世界的に売れたため、Windowsに対するウィルスを作れば世界的な規模で攻撃できる利便性を犯罪者に与えている。日本は日本独自のOSを開発して無料で公開すべきだ。それが日本の情報化社会をより安全なものにするだろう。
もちろん、サイバー攻撃を実施した者が社会秩序に対して行った重大な犯罪者として罰せられるべきだし、今後同様のサイバー犯罪が起きないように、すべてのサーバーはネットワーク履歴を残して、国際的なサイバー犯罪捜査当局の求めに応じてネット接続履歴を提出するようにすべきだ。
そうすれば正体を秘匿して姑息なサイバー攻撃を実施できなくなる。自由なネット空間を確保するためにはサイバー犯罪者をネット空間から排除する仕組みをサーバー業者は自ら構築すべきだ。