November 5,2008
米マイクロソフトが公開した「Microsoft Security Intelligence Report(SIR)第5版」によると,同社が2008年1~6月に感染駆除したコンピュータの台数は,その前の6カ月間(2007年7~12月)に比べて800万台強増えたそうだ。
こうした記述を見ると,「犯罪目的で使用されるソフトウエア(クライムウエア)を取り巻く状況は悪化している」という結論に飛びつきがちだが,その判断は正確ではないかもしれない。例えば,感染駆除されたコンピュータの台数を見てみると,当期(2008年上半期)の増加率は前期比50%弱なのに対し,2007年下半期は同79%,2007年上半期は同95%だった。つまり,当期は増加率が以前よりも下がっている。駆除件数にも同じことが当てはまる。2008年上半期は2007年下半期に比べ47%増えているが,2007年下半期は前期比219%増,2007年上半期は同80%増だった。
どのような見方をするにしても,マイクロソフトが2008年1~6月に2300万台以上のコンピュータからクライムウエアを駆除したことは確かで,この数値は誰が見ても明らかに多い。サードパーティ製ウイルス対策ソフトを導入しているシステムも加えると,感染件数の合計はさらに増える可能性がある。
ただしマイクロソフトは,特定地域における感染が合計件数を押し上げていると指摘していることに注意しておきたい。非先進国やインターネット利用率の低い国が,感染国の上位を占めている。セキュリティに対する認識,あるいはこれまでの経験が,セキュリティ効果の向上に役立っていることは間違いない。
今回のレポートでさらに興味深かったのが,「Computers cleansed by threat category,in percentages,1H06-1H08(2006年上半期~2008年上半期の駆除事例における脅威のカテゴリ別比率)」(レポートの134ページの表81)だ。この表には,「エクスプロイト」の割合が1.0%だという非常に重要な数値が掲載されている。
表に記載されている脅威には,「トロイの木馬用ダウンローダ/ドロッパー」「ワーム」などがあるが,これらはいずれもユーザーがきっかけを作るクライムウエアである。唯一,「エクスプロイト」だけが,修正パッチによる効果を見込めるカテゴリの脅威である。エクスプロイトは,ソフトウエアのぜい弱性によって発生する攻撃。不正なJavaScriptを実行するiframe攻撃や,「Microsoft Data Access Components(MDAC)の機能のぜい弱性(MS06-014)」を突いてブラウザ・ヘルパー・オブジェクト(BHO)を自動的にインストールしようとする攻撃(関連記事:JavaScriptインジェクション攻撃)などはいずれもエクスプロイトに分類できる。
つまり,新しいパッチのリリース直後に出てくる膨大なアップデートへの対応,特定のセキュリティ情報のぜい弱性に関する問い合わせ,週末を挙げてのぜい弱性やマイクロソフト緊急セキュリティ情報「MS08-067」(関連記事:Windowsに「緊急」のぜい弱性,「悪用するワームが出現する恐れ」)の調査,更新プログラムのインストールといった処理はどれも,わずか1.0%の脅威に対する措置だということだ。
上記の点について,少し考えてみよう。
