勒索病毒WannaCrypt(又稱WannaCry)在短短兩日內大規模席捲全球,微軟今日於部落格發文指出,駭客可能是利用美國國安局外洩的微軟系統漏洞進行攻擊,並批評政府不應「囤積」網路漏洞作為武器而不回報,各界應該將此事件視為警鐘。
微軟:這是武器外流的新興模式
針對此次針對微軟作業系統的大規模資安攻擊事件,微軟總裁史密斯(Brad Smith)在部落格上發文批評,美國政府情報單位長年囤積網路漏洞進行攻擊、而非提報給微軟以進行修補,才讓駭客有機可乘。
他指出,這是武器外流的新興模式,而政府握有的武器一旦遭竊取,將對全球帶來全面性的災難。他認為,網路漏洞遭竊的影響並不亞於實體武器,「就像美國軍方的戰斧導彈被偷走一樣」,政府應將此事件視為警鐘,重視網路漏洞大規模散播的後果。
美政府持有的網路漏洞並非首次外流
美國政府並非首次被視為網路攻擊的罪魁禍首。2014年發生的Heartbleed漏洞攻擊,也有人踢爆其實美國國安局早就知悉該漏洞,但卻不回報,而是持續利用該漏洞蒐集情報。今年3月,維基解密也揭露美國中情局如何利用iPhone或Android手機作業系統以及各軟體漏洞進行攻擊。
微軟提數位日內瓦公約,要政府公開安全漏洞
為了加速軟體漏洞修補以及降低損害,微軟在二月就曾提出「數位日內瓦公約」,要求政府報告安全漏洞,保護民眾免於受到來自國家網路的駭客攻擊。
史密斯同時也呼籲,科技圈、用戶和政府各界應共同打擊線上威脅,用戶必須定期更新作業系統,才能免於遭受針對舊式系統的攻擊。如同這次,微軟在3月就已針對該漏洞釋出安全性更新,但不少用戶並未如期更新,也讓這次的攻擊災情嚴重。不過,對許多企業來說,受限於預算和舊有專案可能和新系統不相容,定期更新作業系統可能是一大挑戰。
勒索軟體攻擊在去年成長36%
勒索病毒的攻擊手法,為利用惡意軟體侵入用戶電腦、加密用戶的重要檔案,在收到贖金後,才會替用戶解密檔案。《CNET》引述賽門鐵克統計數據,勒索病毒數量在去年約有463,841件,相較於2015年的340,665件,成長36%;其中,又以醫療保健產業為主要攻擊對象,近70%的勒索軟體攻擊都是針對醫院、藥局和健康保險單位。
