微軟譴責美國政府監控政策引發WannaCry災情!

上周五WannaCry勒贖軟體在網路上爆發引發嚴重災情，微軟法務長Brad Smith周末譴責美國政府發展監控情資的攻擊工具庫難辭其咎。 

安全專家相信，WannaCry起於遭影子掮客公佈的一系列國安局（National Security Agency, NSA）攻擊工具。其中一項攻擊程式開採NSA發現、但對微軟知情不報的Windows作業系統SMB漏洞，使電腦門戶大開遭勒贖軟體WannaCry入侵及綁架。

微軟早在3月即已發佈修補程式使Windows10等較新電腦及勤做更新的用戶倖免於難，然而全球仍有醫療、政府、金融及個人用戶未及時更新到最新版Windows的電腦遭到綁架勒索比特幣。周五起已有數十國家淪陷，造成了史上最大勒贖軟體攻擊，台灣甚至名列第三大攻擊目標 。 

基於災情嚴重，微軟於周末緊急發佈例外修補程式修補已不支援的作業系統，包括Windows XP 、8及Windows Server 2003，以及更新微軟安全工具Windows Defender。 

Smith同時發文譴責，表示多次事件證明政府蒐集軟體弱點的作法是問題元凶。從維基解密公開中情局（CIA）的駭客工具資料庫計畫，到這次NSA隱瞞的漏洞害全球用戶遭殃，美政府發展的攻擊工具一再被上傳網路也引發大規模災情。

他表示，政府手握的攻擊武器外流危險性等同美國軍方的戰斧飛彈失竊，這次攻擊突顯全球兩種最嚴重的網路安全威脅，包括國家級行動及組織化的網路犯罪無意但令人憂心的結合。他認為全球政府都必須以此為鑒正視問題。為此，微軟於二月間呼籲召開數位日內瓦會議討論這些問題，包括要求政府對廠商通報軟體弱點，而非反過來囤積、販賣或開採這些漏洞。 

經過周末，許多安全專家相信周一上班日才是第二波全球災情的開始。而美國政府周末也召集大批安全專家共商對策。 

Smith補充，這件事再次讓人了解今天IT基礎架構的複雜及多元性，以及更新軟體對許多客戶來說是一件很艱鉅的挑戰。他表示除了以現有的測試及分析策略加速IT基礎架構的更新，微軟現在也正在積極發展更進步的方法，以確保安全更新能立即部署到所有IT環境。 

無獨有偶，Google也於上周宣佈Project Treble，希望能加速Android裝置更新作業系統的速度，以洗清Android手機、平板比iOS裝置不安全的名聲。