先日,知り合いが仕事で使っていたパソコンがワームにやられた。挙動から,どうやらネットワーク経由で攻撃を受けたらしい。ウイルス対策ソフトは警告を出すものの,リアルタイムには修復してくれない。パターン・ファイルをアップデートしても同じだ。新種か亜種らしい。仕方無い。知り合いは「今日はネットワークを使えないかも知れないな」と覚悟し,とりあえずパソコンのネットワーク・ケーブルを外し,ワーム本体とおぼしきファイルを削除してから,ローカルのファイルだけで仕事を続けた。
ネットワーク経由でワームを送り込んで,なおかつリモートからワームを起動させる。記者はかつてSolaris管理者だったことがあるが,そのとき遭遇したSadmind/IISに似た手口だ。この場合,原理的に対処方法は2つしかない。1つは,攻撃を受ける側のセキュリティ・ホールを潰すこと。ポートを遮断したり,脆弱性のあるサービスを停止する。さらにOSにパッチを当てたり,ウイルス対策ソフトのパターン・ファイルが新種/亜種に対応することで,安全になる。もう1つの方法は,攻撃を仕掛ける側のパソコンをネットワークから外し,攻撃を仕掛けられない状態に修復すること---である。
さらに,パソコンに感染したワームが,他のパソコンに攻撃を仕掛けて自分自身のコピーを広げるタイプだった場合,話はより厄介である。Sadmind/IISのように,システム管理者が管理するサーバーが攻撃対象であればすぐに対処できる。だが,エンドユーザーのパソコンを経由して感染する仕様のワームであれば,システム管理者が手動でワームを根絶するのは,現実的に不可能となる。従業員全員が協力して足並みを揃えない限り,根絶はできない。事実上,OSのパッチやパターン・ファイルの更新を待つしかない。
そのワームがインターネット上で広く出回っているタイプであれば問題はない。時間さえ経てば,OSのパッチ,ウイルス対策ソフトのパターン・ファイルの更新という形で解決するはずだからだ。ところが,もしマイナーな存在であり,世の中にまったく広まっていないワームだとしたら,どうなるだろうか。特定の組織をピンポイントで狙って,誰かが新たに作成した新種や亜種だったら,どうなるだろうか。想像するだけでも恐ろしい。
脆弱性対策のためのもっとも有効な手段は,愉快犯による大掛かりなワームによって,その脆弱性が発見されることである。脆弱性は,発見後の対策によって脆弱ではなくなる。反対にもっとも恐ろしいのは,誰も気付いていない脆弱性を,プロフェッショナルによって,ここ一番ピンポイントで狙われてしまうことである。愉快犯が脆弱性を事前に明らかにしているからこそ,プロフェッショナルの活動が制限されていると言ってもいいだろう。誰も知らない脆弱性,マイナーな脆弱性というのが,一番怖いものなのだ。
さて,ワームに感染した知り合いのパソコンだが,その日の夕方近くになって,ようやくネットワークに接続しても安全な状態になった。何のことはない。ウイルス対策ソフトのパターン・ファイルだけでなく,エンジン本体を最新のバージョンに更新したら,安全になった。とはいえ,知り合いが横着者だったわけではない。エンジン本体の最新バージョンは数日前にリリースされたばかりで,知り合いが使っていた前バージョンもまだまだサポート中。情報システム部門からの最新版リリースのお知らせも「いくつかの不具合が修正されていますから,時間があったらバージョンアップしてください」という緊急度の低いものだった。
リモートからワームを送り込めることや,送り込んだワームをリモートから起動できることは,(今回だけでなく)様々なワームに応用できる大きな脆弱性と言える。知り合いの企業はセキュリティ対策に力を注いでいたはずで,実際,知り合いも普段はほとんどセキュリティのことを気にせずネットワークを利用していたという。それでも,時としてこうした大きな問題が放置されている。これがピンポイントで狙われたと想像したら---。
