Windowsのセキュリティ更新プログラム、重要な公共サービスなどで多数使われている限り提供し続ける必要がある? 157
更新 部門より
オマンド氏はWindows XPが数多く使われていた2014年の段階でMicrosoftがサポートを終了したのは早すぎたと考えているようだ。また、MicrosoftではWindows XPなどサポート期間が終了したOSについて、WannaCryptが悪用した脆弱性を修正する更新プログラムをカスタムサポート契約者以外にも提供しているが、1か月前に提供していればよかったとも述べているとのこと。
米上院国土安全保障・政府問題委員会委員長のロン・ジョンソン上院議員(共和党)とブライアン・シャッツ上院議員(民主党)が提案したのは、「Protecting Our Ability to Counter Hacking(PATCH) Act of 2017」というもの。法案では脆弱性の開示等について判断する委員会の設置が主題となっている。委員会は国土安全保障省(DHS)長官または長官が指名した人物が委員長を務め、捜査機関や諜報機関などの責任者が常任メンバーとなり、脆弱性を開示するかどうかに関するポリシーを確立することが義務付けられる。
開示のタイミングや開示先などについては、捜査・諜報活動で脆弱性を使用する必要性や、米政府機関以外に脆弱性が発見される可能性、悪用された場合の危険性などを考慮して判断することになるとのこと。今回、WannaCryptが使用したとされるエクスプロイトを流出させた米国家安全保障局(NSA)では、発見した脆弱性の中には公表せず情報収集に使用するものもあることを2014年に明らかにしている。