8月半ばからこのかた、各種ウイルスへの対策を講じるのはもちろん、公私さまざまなトラブルシューティング(つまり助っ人)に追われたり、社内での情報告知やサポート、パッチの検証作業に忙殺されたりと、休暇も何もあったもんじゃない状態に陥ったセキュリティ担当者は相当数に上ったのではないだろうか? 心から同情申し上げます(というよりか同病相哀れむ、といったほうが正しいかもしれませんが……)。
残念ながらその後も、気の休まる暇はなさそうだ。WelchiaやSobig.F以降は大規模なワーム感染こそないものの、9月〜10月にかけての間に、MS03-039やMS03-043といったセキュリティホールの存在が明らかになった。これらのセキュリティホールだが、問題そのものが深刻であるだけでなく、一部にはこれを悪用する実証コードまでが公開されていることを考えると、警戒を怠るわけにはいかない。
第2、第3のBlasterワーム騒ぎが起きないとは、だれにも断言できない。いやむしろ、いつか必ず似たような騒動が起きると心し、準備を怠らないでおくほうがいいだろう。
参考:Blasterワームの亜種について(http://www.microsoft.com/japan/technet/security/virus/blstvariants.asp)
関連記事:ネットワーク管理者のためのBlasterワーム対策(Windows Server Insiderフォーラム)
さて、エンドユーザーには混乱を、担当者には不眠を、セキュリティ関連企業には多くの案件と多忙な日々をもたらしたBlasterワーム。だが一連の騒動からは、得られたメリットも多かったように思う。デメリットではなく、メリットだ。
マスメディアを通じた告知体制
話は飛ぶけれど、この半年ほど日本国内ではやや大きめの地震が相次いだ。そのたびにテレビでは、各地の震度を報じるとともに津波に対する警戒を呼びかけるようになっている。
こうしたマスメディア、特にテレビを通じた告知体制は、少なくとも筆者が子供のころには見かけなかった記憶があるが、何度も地震や津波による被害を経験し、その反省を踏まえ、被害を最小限に抑えるための告知を模索する中でいまのようなスタイルが出来上がってきたように思う。セキュリティホールやウイルス、ワームの警戒情報についても、同じような動きが生じつつあるのではないだろうか。
過去を振り返ると、ウイルスの件がテレビや一般紙で取り上げられたことは何度かあった。だが本格的に時間を割いて説明し、局によってはWindows Updateの手順も含めた対処法まで伝えられたのは、このBlasterワームが初めてだったように思う。またBlasterワームをめぐっては、マイクロソフトや経済産業省でも、幅広い個人ユーザーへの啓蒙が鍵だとの認識を深めたようだ。いずれも今後の重要な課題の1つとして、テレビや新聞も含め、さまざまなメディアを通じての告知を挙げている。
専門的な視点から見れば若干の誤謬(ごびゅう)はあったにせよ、PCやインターネットが当たり前のように利用されるようになった現在、マスメディアを通じて幅広くユーザーに対処を呼びかける動きがあったことを評価したい(もう少し早くこうした動きがあってもよかったかもしれないが)。そしてこれを機に、今後の広範な告知体制が洗練され、ただユーザーの不安をあおるだけに終わるのではなく、適切な情報を供給し、ワームの蔓延を未然に食い止める力の1つとして働くよう期待したい。
ベンダ、政府、ユーザーの意識に変化
ほかにもBlasterワームがもたらしたメリットはある。ベンダ側、そして政府側のセキュリティに対する取り組みに拍車がかかったことだ(いや、こうした事態が生じる前に何か策を講じておくべきだったことはいうまでもないのだが)。
ワームが蔓延する最大の原因の1つがセキュリティホールだ。そしてこのセキュリティホールを解消するには、パッチを適用するしか根本的な対策がない。しかし周知のとおり、パッチの適用作業にはさまざまな困難が付きまとう。独自開発のものも含め、これまで動いていたアプリケーションが同じように動作するかどうか、また万一動作しないときに元の状態にどうやって戻すかといった道筋を確認しておかない限り、業務用マシンでの適用は難しい。家庭で利用している個人ユーザーにとっても、これまでWindows Updateの存在すら知らなかったような場合には、操作に不安が付きまとうことだろう。経済産業省に寄せられた質問の中には、「画面に表示される“同意します”をクリックしてもいいのですか?」といったものもあったという。
マイクロソフトでは、その「パッチの適用作業が難しすぎる」という声を受けて、パッチ提供体制を変更する方針を明らかにしている。合わせて、ファイアウォールをはじめとするPCを保護するための手段をデフォルトでオンにするという流れを強化するほか、Internet Explorerのセキュリティゾーン体系の改善などに取り組むという。遅きに失した感はあるが、何もせず手をこまねいているよりは数段ましなはずだ。
一方経済産業省では、「情報セキュリティ総合戦略」の策定を発表している。詳細は同省サイトに掲載されているのでここでは省くが、この戦略では、省庁ごとのタテ割りではなく政府全体としてセキュリティに取り組むことが明言された。また、セキュリティに絶対はなく、事故は起こりうるものである、という前提に立っている点は評価したい。例えば住基ネットの問題で総務省側が主張するように、「安全だ、不正アクセスはあり得ない」と繰り返すよりも、数段現実的で効果的な対策が見込める。
いずれもセキュリティの専門家からすれば何をいまさら、と思われるかもしれないが、こうした動きが現れてきたこと自体、Blaterの思わぬ副産物としてとらえることができないだろうか。
最後にもう1つ、Blasterワームがもたらしたメリットを挙げたい。一連の報道の賜物(たまもの)か、痛い目を見て懲りたのか、普段あまり頻繁にPCを使わないようなエンドユーザーの間にも、ワームやウイルスという単語が伝わり、「どうやらセキュリティに気を配らないとまずそうだ」という意識が芽生えたことだ。
仮にもセキュリティに関心を持つ業界関係者としては、ちょっとエラソウだけれども、この芽を摘むことなく、セキュリティの底上げにつながるよう啓蒙し、情報を提供していくという循環ができればと期待している。今回はマスメディアの力がクローズアップされたけれども、こうした意識が同時に、地道な、けれども強力な「セキュリティ草の根ネットワーク」「口コミネットワーク」なんていうのにつながれば、とも思う。
「○○で大丈夫」への懸念
蛇足になるけれども、ここで最近気になるのが、Blasterワームやそのほかのワーム騒ぎを受けて各社が展開している広告キャンペーンだ。「○○を利用することで、ウイルスをブロックすることができます」とか、「××によってセキュリティ対策はばっちり、PCを守ることができます」とか、各社ともここぞとばかりさまざまなキャッチコピーを用いて、セキュリティに目覚めたばかりのユーザーの意識を引き付けている。
確かにこうしたツールや製品は便利だし、その有効性は否定しない。けれどもこうしたキャッチコピーには大きく抜けている部分がある。たとえこれら製品を導入したとしても、適切に運用しなければ意味がないし、それにはユーザーが継続的にセキュリティのことを意識していなければならないのだ。なのに一連の製品の紹介には、その部分が抜けていて、即効性があり、かつ一度適用すれば大丈夫、というような印象を与えるものさえある。まるで「これさえ飲めばすぐにやせられます」というダイエット薬のようだ。本当にやせたいのならば、日常の生活改善や継続的な運動が必要なのに。
だから本来ならば、一連のセキュリティ製品の広告はこうあるべきなんじゃないかと思っている。「あなたのPCは危険にさらされています。けれどそのことを意識して、きちんと設定やアップデートを行えば、妥当な程度にはリスクを減らすことができます」と。本当にセキュリティのことを思うのならば、思い切って「製品だけではセキュリティは実現できません。あなたの意識が重要です」くらいのことは書いてもいいと思っている。でもこれじゃぁ商売にならないのだろうか……。
Profile
須藤 陸(すどう りく)フリーライター
1966年生まれ、福島県出身。社会学専攻だったはずが、 ふとしたはずみでPC系雑誌の編集に携わり、その後セキュリティ関連記事を担当、IT関連の取材に携わる。現在、雑誌、書籍などの執筆を行っている。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.