Windows10の強制アップデートは原発や核施設を守るため

マイクロソフトが強引な手法をとったことの背景には、最近のセキュリティの考え方が、個別のコンピュータを守るためだけではなく社会インフラを守るためでもあると変化してきていることがあるのではないかと思います。


最近、Windows10の強制アップデートについて、あまりにも強引すぎるためにこのままではMSは信頼を失うとかいう発言を目にします。バスの案内表示にWindows10へのアップデートダイアログが表示されたことも話題になりました。
けれども、バス案内表示にWindowsアップデートの画面が出ることと、バス案内表示システムが核施設への攻撃に加担することと、どちらが危険でしょうか。


2014年には韓国の原子力発電所サイバー攻撃が行われています。
世界のセキュリティ・ラボから - 韓国原発に対するサイバー攻撃、情報の身代金を要求:ITpro
韓国の原子力発電所の制御システム自体はインターネットからは隔離されている、という話ですが、2010年のイランでの核施設攻撃ではUSBメモリ経由でWindows脆弱性が狙われ、ウラン濃縮が停止しました。
核施設を狙ったサイバー攻撃『Stuxnet』の全貌|WIRED.jp
韓国への攻撃では、原発の図面がアクセス可能になっていたということですが、もしコンピュータ構成や運用体制がわかれば、イランのときのような間接的な攻撃もやりやすくなります。


金融システムも狙われています。2013年には、韓国で、サイバー攻撃によって銀行システムが止まるということもありました。
韓国のテレビ局と銀行システムが一斉ダウン、サイバーテロか - ITmedia エンタープライズ
システムを停止するだけではなく、金銭を奪うということも行われています。
アジアの銀行を狙った一連のサイバー攻撃 北朝鮮が関与か - ITmedia ニュース


このような攻撃の前段階で多く使わるのは、多数のコンピュータからの同時アクセスで対象コンピュータの動きを不安定にさせるDDoSという手法です。このとき、攻撃に参加するコンピュータは、事前に乗っ取られた、セキュリティ的に弱いコンピュータです。OSをアップデートしていないコンピュータは、攻撃者にとって格好の餌食になります。


コンピュータセキュリティは、個別のコンピュータを守ることから、社会インフラを守ることへと対象が広がっています。アップデートしていないコンピュータが攻撃されて内部の情報が奪われるだけであれば「自分のコンピュータにはたいした情報はないしアップデートしないでもいい」ということは許されるし、もしそこでセキュリティをつかれて大事な情報が奪われても、バカだなぁとその人を笑うだけで終わりました。けど今では、セキュリティに弱いコンピュータを放置することは、社会に脅威を与えることになってきています。


マイクロソフトは、このような脅威に対して早急に、そして強引に対策する必要があると認識しているのではないでしょうか。Windowsアップデートで不評を買うよりも、Windowsが載ったコンピュータによって核施設が攻撃されることのほうが損失が大きいと。


追記 6/13 18:00
誤解されているブコメありますが、原発のシステム自体のアップデートのために強制アップデートをしているという話ではなく、そこに攻撃をかける駒になりうる一般のコンピュータを減らすために強制アップデートをしているという話です。


マイクロソフト自体がどう考えているかということに関しては、こちらにエバンジェリストの方の発言があります。
「Microsoftが変わった」って言われてるけど本当なの?よくわかんないから直接聞いてきた|CodeIQ MAGAZINE


また、Windows7でもサポートがまだありWindows Updateでの対応があるのでは、という点に関しては、Windows 7のサポートの範囲で対応できないセキュリティリスクがありうるという話があります。
「Windows 7なら安心」は危険な考え? FFRIがセキュリティリスク報告書を公開 -INTERNET Watch