〈勒索病毒〉「想哭」疑源於NSA庫存 微軟促訂數碼公約規範 普丁劍指美國

電腦勒索病毒 WannaCry 周一 (15 日) 雖未如預期再掀起新一波攻擊，但事件敲響全球警號，被指是病毒源頭的美國國家安全局 (NSA) 成了眾矢之的。

微軟 (MSFT-US) 周日 (14 日) 指摘政府發現電腦保安漏洞卻沒適時告知軟件商及用戶，行為猶如儲存大批可發動網絡攻擊的武器，並稱此一事態的嚴重性，相當於美國的「戰斧」導彈被盜。呼籲各國政府在網絡世界應制訂「數碼日內瓦公約」。

至於一直被外界指從事駭客活動的俄羅斯，總統普丁昨亦把矛頭指向美國。

綜合香港明報、文匯報報導，駭客 Shadow Brokers 在 4 月中公開一批 NSA 外洩駭客工具，內含多個程式漏洞。上周五 (12 日)，有駭客懷疑利用上月 NSA 遭公開的駭客工具「永恒憂鬱」(Eternal Blue) 部分數據，製造出影響數以十萬計電腦的 WannaCry。

微軟主席兼法務長史密斯 (Brad Smith) 周日在網誌發聲，一方面承認作為科技公司要承擔責任，但他稱這次攻擊反映政府囤積電腦保安漏洞亦是問題。史密斯舉例稱，中央情報局 (CIA) 儲藏的網絡漏洞曾在維基解密出現，如今 NSA 所收藏的網絡保安漏洞更影響全球用家。

史密斯指同類事件不斷重複出現，並造成大規模損失，有關資料失竊的嚴重程度，「如同美軍的戰斧巡航導彈被盜」；顯示政府行為和刑事罪行存在「非故意但令人不安的連繫」。

史密斯認為各國政府應像在現實世界中遵守武器的管制措施般，應用到網絡世界。他提出政府、科技界和用家需加強合作應付網絡攻擊。微軟今年 2 月已呼籲制訂新的「數碼日內瓦公約」，規定政府發現漏洞時須通知生產商，而非囤積、出售或利用。

這次攻擊黑手仍待查，俄總統普丁昨否認俄國涉事。他說：「微軟已直接指出，電腦病毒源頭來自美國的安全部門，俄國跟此事絕對無關。」

普丁說，入侵事件令人憂慮，但對俄國影響有限，並呼籲國際社會合作打擊駭客，「有需要制訂保護機制」。根據設於莫斯科的 Kaspersky Lab，俄羅斯是 WannaCry 襲擊最嚴重的國家。俄內政部、流動通訊商 MegaFon 及國營金融機構 Sberbank 都受害。

Shadow Brokers 在 4 月公開 NSA 駭客程式時，微軟曾回應指已填補漏洞。至 WannaCry 攻擊大規模出現後，微軟上周五再表示，今年 3 月推出的更新程式可修補這次駭客攻擊漏洞。不過更新並不包括 Windows XP 和 Windows 8 等，後來才「破例」提供更新程式。微軟有關做法亦成為討論焦點。

Windows XP 因運作穩定而廣受好評，至今仍有不少公司甚至政府機構繼續採用，而且部分使用微軟作業系統的裝置如醫院的磁力共振儀器等，更新並不容易。一旦遇上像 WannaCry 這類攻擊，不在支援之列的作業系統會面對更大威脅。有分析認為，政府可考慮立法，強制遭駭客攻擊的企業須公布有關問題。