「Winny(ウィニー)の脆弱性(セキュリティ・ホール)を突くプログラムは既に作られていると考えたほうがよい。脆弱性を悪用するワームは,いつ出現しても不思議ではない。しかし今回のケースは特殊であり,対策が難しい」---。Winnyの脆弱性の発見者である米eEye Digital Security(以下,eEye)の鵜飼裕司氏は5月19日,ITproの取材に対して,Winnyの脆弱性問題について語った。(関連記事:発見者が語る「Winnyのセキュリティ・ホール」)。
eEyeでは,Winnyの脆弱性の詳細を一切明らかにしていない。しかしながら,脆弱性を突いてWinnyマシンを乗っ取るようなプログラムが第三者によって作られている可能性は極めて高いという。「Windowsなどでは,脆弱性が見つかったという事実が公表されただけで,すぐにExploit(エクスプロイト:脆弱性を突くプログラム)が作成される。Winnyについても,脆弱性の存在を発表した翌日には,Winnyマシンを落とすようなExploitがネット上で公開されていた」(鵜飼氏)。
鵜飼氏が懸念するのは,Winnyマシンを乗っ取るようなExploitを“実装”したワームの出現である(関連記事:「Winnyの脆弱性を突くワーム,出現すれば大きな脅威に」)。「パーソナル・ファイアウオールやルーターなどの普及により,Windowsなどの脆弱性を突くワームが感染を広げることは難しくなっている。しかしWinnyの場合には,ユーザーが自分で“穴”を開けている。ワームが出現すれば,2003年8月に大きな被害をもたらした『Blaster』ワームのときのような“悪夢”が再現される恐れがある」(同氏)。
通常の場合は,“悪夢”を未然に防ぐ一番の方法は修正パッチや修正版の適用。しかし今回のケースでは,「社会的および法的な問題により,開発者や第三者が修正パッチを作成・配布できない。このような事態は,世界的にも前例がない」と鵜飼氏は言う。
作者を特定できないパッチ(いわゆる“野良パッチ”)はネットで公開されているものの,そのようなパッチは「まず第一に,『信頼できるのか』といった問題がある。バイナリで公開されているので,内部で何をしているのか分からないというリスクが存在する。例えば,バックドアなどが仕込まれている可能性は否定できない」(鵜飼氏)。
パッチとして機能するかどうかも問題があるという。「野良パッチの中には,脆弱性をきちんと解消できるものもあれば,特定の攻撃手法にしか対応できないものもあるようだ。かといって,セキュリティ・ベンダーや組織などがパッチを検証してその結果を公表するわけにはいかない」(鵜飼氏)。
だが,ワームなどが発生すれば大きな被害が予想される。手をこまねいてばかりはいられない。鵜飼氏によれば,eEyeでは,法律に抵触しないようなソリューション(解決策)を現在検討ならびに開発しているという。「例えば,攻撃パケットだけを止めるようなソリューションなどが候補になるだろう。しかしどのようなソリューションであっても,社会的および法的に問題のないことが明確にならないと提供することは難しい」(同氏)。
