もちろんSpiceworks1社のみのデータから、今回のような大規模なランサムウェア攻撃に対して脆弱だったPCの台数について正確な数字を割り出せるものではない。Spiceworksはインベントリデータを利用していると述べている。他の情報源には、例えば、政府系ウェブサイトに直接アクセスする全てのビジターのデータをベースとする米政府のデジタル分析サービスなど別の手法もある。これによると、過去3カ月で、全ビジターのわずか1%超がWindows XPまたはVistaを利用していた。
それでも疑問は残る。ソフトウェアアップデートをすることでメリットが得られるにも関わらず、なぜ無関心な企業があるのか。
Spiceworksでシニア技術アナリストを務めるPeter Tsai氏は、「多くの企業が、『壊れていなければ、修正するな』という考え方に従っている。これはITを最優先していないところで顕著に見られる」と述べた。「その結果、多くのIT部門で、Windows 10のような新しいOSにアップグレードするために必要なリソースと予算が不足している。社内の全システムをアップグレードし、新しい機能についてエンドユーザーを教育するのは時間がかかる」(Tsai氏)
一部の企業は新しいOSへのアップデートが遅れている理由として、差し迫った必要性のないことや、時間の不足、予算の制約などを挙げていた。こうした障壁は、実際の損失に発展しかねない。先週末のサイバー攻撃を例にとってみると、英国で多数の病院が感染しており、一部は患者を受け入れられなかった。しかし、英国のNHSトラストやイングランドとスコットランドの病院が先週のランサムウェア攻撃によって多大な被害を受けた一方で、NHS Walesは全く影響を受けていないという。これは主に、その医療システムが最近ネットワーク全体をアップデートしたことによるものだ。
今回のランサムウェア攻撃から導き出せることがあるとすれば、セキュリティへの投資は単に良い考えであるというだけでなく、ミッションクリティカルであるということだろう。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。