微软谴责美国政府监控政策引发WannaCry灾情!

上周五WannaCry勒赎软件在网络上爆发引发严重灾情，微软法务长Brad Smith周末谴责美国政府发展监控情资的攻击工具库难辞其咎。 

安全专家相信，WannaCry起于遭影子掮客公布的一系列国安局（National Security Agency, NSA）攻击工具。其中一项攻击程式开采NSA发现、但对微软知情不报的Windows操作系统SMB漏洞，使电脑门户大开遭勒赎软件WannaCry入侵及绑架。

微软早在3月即已发布修补程式使Windows10等较新电脑及勤做更新的用户幸免于难，然而全球仍有医疗、政府、金融及个人用户未及时更新到最新版Windows的电脑遭到绑架勒索比特币。周五起已有数十国家沦陷，造成了史上最大勒赎软件攻击，台湾甚至名列第三大攻击目标 。 

基于灾情严重，微软于周末紧急发布例外修补程式修补已不支援的操作系统，包括Windows XP 、8及Windows Server 2003，以及更新微软安全工具Windows Defender。 

Smith同时发文谴责，表示多次事件证明政府搜集软件弱点的作法是问题元凶。从维基解密公开中情局（CIA）的骇客工具数据库计划，到这次NSA隐瞒的漏洞害全球用户遭殃，美政府发展的攻击工具一再被上传网络也引发大规模灾情。

他表示，政府手握的攻击武器外流危险性等同美国军方的战斧导弹失窃，这次攻击突显全球两种最严重的网络安全威胁，包括国家级行动及组织化的网络犯罪无意但令人忧心的结合。他认为全球政府都必须以此为鉴正视问题。为此，微软于二月间呼吁召开数位日内瓦会议讨论这些问题，包括要求政府对厂商通报软件弱点，而非反过来囤积、贩卖或开采这些漏洞。 

经过周末，许多安全专家相信周一上班日才是第二波全球灾情的开始。而美国政府周末也召集大批安全专家共商对策。 

Smith补充，这件事再次让人了解今天IT基础架构的复杂及多元性，以及更新软件对许多客户来说是一件很艰钜的挑战。他表示除了以现有的测试及分析策略加速IT基础架构的更新，微软现在也正在积极发展更进步的方法，以确保安全更新能立即部署到所有IT环境。 

无独有偶，Google也于上周宣布Project Treble，希望能加速Android装置更新操作系统的速度，以洗清Android手机、平板比iOS装置不安全的名声。