2007年のWindowsセキュリティ事情を考えるときに真っ先に考慮すべきなのは,もちろんWindows Vistaである。米MicrosoftはWindows Vistaのことを「これまでで最も安全なOS」と呼んでいる。過去のWindowsが安全ではなかったことを考えると,恐らくこれは事実だろう。ただし,Windows Vistaがまだ筋金入りの悪党たちからの攻撃にさらされていないことに注意すべきだ。そしてその攻撃は,まもなく始まろうとしている。

 先日,Windows 2000やWindows XP,Windows Server 2003,Windows Vistaに影響を与えるWindowsのセキュリティぜい弱性が発見された。このぜい弱性は「Client-Server Runtime Subsystem(CSRSS)」に存在し,権限を管理者レベルまで引き上げることを可能にする。

 筆者がこれまでに目にしたニュース記事や技術的なレポートの大半は,このぜい弱性を「深刻度の低い問題」として紹介している。なぜならこのぜい弱性を不正に利用するためには,ユーザー(攻撃者)がそのシステムに既に認証されている必要があるからだ。従って,ユーザーがだまされてそのぜい弱性を攻撃するコードを実行しない限り,大きな危険性はないだろうと多くの人は考えている。だがこれは近視眼的な考え方だ。

 多くのニュース記事が見落としているのは,ビジネスの世界では企業内部の人間(例えば,システムへのアクセス認証を簡単に得ることのできるユーザー)によって,かなりの数の侵入行為が行われているという事実だ。この事実を踏まえて考えると,このぜい弱性(そして権限の引き上げを可能にするほかのすべてのぜい弱性)は,実は深刻なものなのだ。

 恐らく私たちは,今後もこれと同程度の(あるいはもっと深刻な)ぜい弱性がWindows Vistaを苦しめるのを目撃することだろう。筆者は,数多くのWindows Vistaのぜい弱性が発見されると考えている。そしてそれらの多くは,インターネットという名の荒野に転がっているエクスプロイト(攻撃の実証コード)を通じて発見されるだろう。こうしたエクスプロイトは,活発に流通していたり,世界中のサイトで販売されていたりする。この流れで行くと,2007年の下期にはこうしたトレンドが加速する可能性が高い。

RSSやAtomのフィードを狙った攻撃も登場する

 Windows Vistaのエクスプロイトとともに,RSSやAtomのフィード,そしてマルチメディア・コンテンツを狙ったエクスプロイトも増加するだろう。Windows Vistaがこれらのテクノロジを大々的にサポートしていることが,こうした現象に拍車をかけると思われる。

 こういった攻撃ではまずWebサイトがこっそりとクラックされ,サイトのコンテンツが差し替えられ,フィードがハイジャックされるだろう。そしてサイト運営者は,ユーザーから苦情を受けたり,メディアから公に辱めを受けたりするまで,サイトが改ざんされたことに気づかないだろう。同様に,YouTubeやMySpaceなどの人気サイトやネットワーク対応ゲームなどを通しても,エクスプロイトがばらまかれることが大幅に増えると筆者は考えている。

 他にトレンドになる可能性が高いものとしては,デジタル身分証明へのさらなる取り組みや,なりすましに対する様々な防衛システムの確立などが挙げられる。後者に関してはユーザー教育が実現可能な最善のソリューションなのだが,ユーザー教育は今後も対策リストの中で低い位置にとどまる可能性が高い。2007年には,これまでよりもはるかに多くの大規模な個人データ漏えい事件が起きるだろう。

 もちろん,なりすましやスパム,マルウエア(悪意のあるソフトウエア)は今後も増大して,より大きな問題になるだろう。恐らく2007年中に,これらの問題が大きく改善されることはないだろう。ベンダーはこの問題の根絶にそれほど真剣ではないように思えるからだ。ベンダーはその代わりに,絆創膏を売るほうを好んでいるようである。

 ここで1つ典型的な例を紹介しよう。「Blue Security」を覚えているだろうか。Blue Securityは,スパムを撃退するための素晴らしい仕組み(Blue Frogと呼ばれる)を考え出した小さな会社だ。Blue Frogは大成功を収めたのだが,残念なことに,同社はスパム配信業者の報復に屈してしまった。そして同業界の大企業は一社としてBlue Securityがやり残した仕事を引き継ごうとしなかったのだ。今後も引き継ぐ企業が出てくる可能性は極めて低いと筆者は考えている。製品の売り上げに貢献する仕組みを解体したいという気持ちは,全くといっていいほどないようだ。悲しいことだが,これが現実なのだ。

 最後になるが,ボットネットは2007年にはさらに大きな問題になるだろう。そしてこの問題はいずれインターネットに非常に深刻な衝撃を与えることになるかもしれないと,筆者は危惧している。