Blasterがもたらした多くの“メリット”：Security&Trust ウォッチ（19）

　8月半ばからこのかた、各種ウイルスへの対策を講じるのはもちろん、公私さまざまなトラブルシューティング（つまり助っ人）に追われたり、社内での情報告知やサポート、パッチの検証作業に忙殺されたりと、休暇も何もあったもんじゃない状態に陥ったセキュリティ担当者は相当数に上ったのではないだろうか？ 心から同情申し上げます（というよりか同病相哀れむ、といったほうが正しいかもしれませんが……）。

　残念ながらその後も、気の休まる暇はなさそうだ。WelchiaやSobig.F以降は大規模なワーム感染こそないものの、9月〜10月にかけての間に、MS03-039やMS03-043といったセキュリティホールの存在が明らかになった。これらのセキュリティホールだが、問題そのものが深刻であるだけでなく、一部にはこれを悪用する実証コードまでが公開されていることを考えると、警戒を怠るわけにはいかない。

　第2、第3のBlasterワーム騒ぎが起きないとは、だれにも断言できない。いやむしろ、いつか必ず似たような騒動が起きると心し、準備を怠らないでおくほうがいいだろう。

　さて、エンドユーザーには混乱を、担当者には不眠を、セキュリティ関連企業には多くの案件と多忙な日々をもたらしたBlasterワーム。だが一連の騒動からは、得られたメリットも多かったように思う。デメリットではなく、メリットだ。

マスメディアを通じた告知体制

　話は飛ぶけれど、この半年ほど日本国内ではやや大きめの地震が相次いだ。そのたびにテレビでは、各地の震度を報じるとともに津波に対する警戒を呼びかけるようになっている。

　こうしたマスメディア、特にテレビを通じた告知体制は、少なくとも筆者が子供のころには見かけなかった記憶があるが、何度も地震や津波による被害を経験し、その反省を踏まえ、被害を最小限に抑えるための告知を模索する中でいまのようなスタイルが出来上がってきたように思う。セキュリティホールやウイルス、ワームの警戒情報についても、同じような動きが生じつつあるのではないだろうか。

　過去を振り返ると、ウイルスの件がテレビや一般紙で取り上げられたことは何度かあった。だが本格的に時間を割いて説明し、局によってはWindows Updateの手順も含めた対処法まで伝えられたのは、このBlasterワームが初めてだったように思う。またBlasterワームをめぐっては、マイクロソフトや経済産業省でも、幅広い個人ユーザーへの啓蒙が鍵だとの認識を深めたようだ。いずれも今後の重要な課題の1つとして、テレビや新聞も含め、さまざまなメディアを通じての告知を挙げている。

　専門的な視点から見れば若干の誤謬（ごびゅう）はあったにせよ、PCやインターネットが当たり前のように利用されるようになった現在、マスメディアを通じて幅広くユーザーに対処を呼びかける動きがあったことを評価したい（もう少し早くこうした動きがあってもよかったかもしれないが）。そしてこれを機に、今後の広範な告知体制が洗練され、ただユーザーの不安をあおるだけに終わるのではなく、適切な情報を供給し、ワームの蔓延を未然に食い止める力の1つとして働くよう期待したい。

ベンダ、政府、ユーザーの意識に変化

　ほかにもBlasterワームがもたらしたメリットはある。ベンダ側、そして政府側のセキュリティに対する取り組みに拍車がかかったことだ（いや、こうした事態が生じる前に何か策を講じておくべきだったことはいうまでもないのだが）。

　ワームが蔓延する最大の原因の1つがセキュリティホールだ。そしてこのセキュリティホールを解消するには、パッチを適用するしか根本的な対策がない。しかし周知のとおり、パッチの適用作業にはさまざまな困難が付きまとう。独自開発のものも含め、これまで動いていたアプリケーションが同じように動作するかどうか、また万一動作しないときに元の状態にどうやって戻すかといった道筋を確認しておかない限り、業務用マシンでの適用は難しい。家庭で利用している個人ユーザーにとっても、これまでWindows Updateの存在すら知らなかったような場合には、操作に不安が付きまとうことだろう。経済産業省に寄せられた質問の中には、「画面に表示される“同意します”をクリックしてもいいのですか？」といったものもあったという。

　マイクロソフトでは、その「パッチの適用作業が難しすぎる」という声を受けて、パッチ提供体制を変更する方針を明らかにしている。合わせて、ファイアウォールをはじめとするPCを保護するための手段をデフォルトでオンにするという流れを強化するほか、Internet Explorerのセキュリティゾーン体系の改善などに取り組むという。遅きに失した感はあるが、何もせず手をこまねいているよりは数段ましなはずだ。

　一方経済産業省では、「情報セキュリティ総合戦略」の策定を発表している。詳細は同省サイトに掲載されているのでここでは省くが、この戦略では、省庁ごとのタテ割りではなく政府全体としてセキュリティに取り組むことが明言された。また、セキュリティに絶対はなく、事故は起こりうるものである、という前提に立っている点は評価したい。例えば住基ネットの問題で総務省側が主張するように、「安全だ、不正アクセスはあり得ない」と繰り返すよりも、数段現実的で効果的な対策が見込める。

　いずれもセキュリティの専門家からすれば何をいまさら、と思われるかもしれないが、こうした動きが現れてきたこと自体、Blaterの思わぬ副産物としてとらえることができないだろうか。

　最後にもう1つ、Blasterワームがもたらしたメリットを挙げたい。一連の報道の賜物（たまもの）か、痛い目を見て懲りたのか、普段あまり頻繁にPCを使わないようなエンドユーザーの間にも、ワームやウイルスという単語が伝わり、「どうやらセキュリティに気を配らないとまずそうだ」という意識が芽生えたことだ。

　仮にもセキュリティに関心を持つ業界関係者としては、ちょっとエラソウだけれども、この芽を摘むことなく、セキュリティの底上げにつながるよう啓蒙し、情報を提供していくという循環ができればと期待している。今回はマスメディアの力がクローズアップされたけれども、こうした意識が同時に、地道な、けれども強力な「セキュリティ草の根ネットワーク」「口コミネットワーク」なんていうのにつながれば、とも思う。

「○○で大丈夫」への懸念

　蛇足になるけれども、ここで最近気になるのが、Blasterワームやそのほかのワーム騒ぎを受けて各社が展開している広告キャンペーンだ。「○○を利用することで、ウイルスをブロックすることができます」とか、「××によってセキュリティ対策はばっちり、PCを守ることができます」とか、各社ともここぞとばかりさまざまなキャッチコピーを用いて、セキュリティに目覚めたばかりのユーザーの意識を引き付けている。

　確かにこうしたツールや製品は便利だし、その有効性は否定しない。けれどもこうしたキャッチコピーには大きく抜けている部分がある。たとえこれら製品を導入したとしても、適切に運用しなければ意味がないし、それにはユーザーが継続的にセキュリティのことを意識していなければならないのだ。なのに一連の製品の紹介には、その部分が抜けていて、即効性があり、かつ一度適用すれば大丈夫、というような印象を与えるものさえある。まるで「これさえ飲めばすぐにやせられます」というダイエット薬のようだ。本当にやせたいのならば、日常の生活改善や継続的な運動が必要なのに。

　だから本来ならば、一連のセキュリティ製品の広告はこうあるべきなんじゃないかと思っている。「あなたのPCは危険にさらされています。けれどそのことを意識して、きちんと設定やアップデートを行えば、妥当な程度にはリスクを減らすことができます」と。本当にセキュリティのことを思うのならば、思い切って「製品だけではセキュリティは実現できません。あなたの意識が重要です」くらいのことは書いてもいいと思っている。でもこれじゃぁ商売にならないのだろうか……。