昨日今日始まったことではないが,「ゼロデイ」のぜい弱性,あるいは攻撃がやけに目立つようになってきた。特にマイクロソフトのWindowsやOffice製品を狙ったものだ。ゼロデイとは,「まだセキュリティ・パッチが提供されず,ぜい弱性が放置されている状態」。この状態にあるぜい弱性を突く攻撃がゼロデイ攻撃である(「ゼロデイ攻撃」の用語解説)。2007年に入ってもゼロデイのぜい弱性は次々に見付かっている。Windows ServerのDNSのぜい弱性(関連記事)などは記憶に新しいはずだ。

 このゼロデイ,我々はどう対処していったらいいのだろうか。セキュリティ分野では,よく,「戦う」という言葉を使う。従来,ウイルス,スパム・メールといったセキュリティの脅威に対し,ベンダーもユーザーも,根絶に向けて戦う姿勢で取り組んできた。しかしゼロデイは事情が異なる。パッチ・プログラムもアンチウイルス・ソフトのパターン・ファイルも存在しないわずかな期間に(実際には長期にわたる場合もある),攻撃者はツールを開発・入手し,攻撃を仕掛けてくる。従来型の手段ではどうにも防げない。

 攻撃者は,人の心理を逆手にとって巧みにボットなどの不正プログラムを送り込んでくる。いったんパソコンに入り込んだプログラムは,攻撃者のサイトなどから新しい不正プログラムを自動的にダウンロードし,攻撃や機密情報への不正アクセスを続ける。しかも,いくら防いでも,新たな攻撃が次から次に発生する。「戦いようがない」と言いたくなる状況である。

対策の強化も進んではいるが・・・

 一方で,対策も着実に強化が進んでいる。例えばWindows Vistaに搭載されたASLR(Address Space Layout Randomization)機能。システム・データを読み込むメモリー領域を,パソコンを起動するたびにランダムに変更する仕組みで,ぜい弱性を突いたバッファ・オーバーフロー攻撃が成功する可能性を減らす効果がある(関連記事)。Vistaには,ユーザーが意図しない操作,または許可するつもりのない操作を実行しようとするプログラムの起動を防ぐUAC(ユーザー・アカウント制御)という仕組みもある。ただそれでも,やはり万全とは言えない。少なくとも,クライアントがすべてVistaに置き換えられるまでは,ASLRやUACの効果を得られる範囲は限定的になる。

 つい先日,マイクロソフトは検疫ネットワークの相互接続性の確保に向けて,TCG(Trusted Computer Group)と協力体制を築くと発表した(関連記事)。クライアントを収容するエッジ・スイッチには,こうした検疫機能が標準的な機能として組み込まれつつある。これでWindows Server 2008(Longhorn)が広がれば,検疫ネットワークは企業ネットワークの標準機能になるかもしれない。しかしこの検疫ネットも,ゼロデイのぜい弱性を突くウイルスには対処できない可能性が高い。

 ではどうするか。結局,新しいぜい弱性の情報をできるだけ早く入手し,被害を最小限にとどめるために素早く対処する,という地道な取り組みが必要になる。感覚的には,「戦う」というより,うまく「付き合う」のに近い。

 ただ,いつどこで発見されるか分からないぜい弱性の情報を素早く入手するには,広範囲にわたる情報網が必要になる。最近では,攻撃が特定個人を狙い撃つものになることが増え,ウイルス対策ソフトのベンダーでさえ,なかなかウイルスの検体を見付けられないことがある。ましてやユーザー企業にとっては至難の業だ。

 そこで注目され始めているのが「CSIRT」(computer security incident response team)。企業などの組織内に設置するセキュリティ対策の専任部隊である。社内のセキュリティを監視するだけでなく,外部のCSIRTと情報交換し,セキュリティに関する情報流通を迅速化するのが理想型だ。ITproでも,こうした動きに合わせて,「CSIRTフォーラム」というサイトを新設した。

 このあと必要なのは,連携するCSIRTの輪を広げること。輪が広がらなければ,実は従来の企業における対策とあまり変わらないのではないか。セキュリティ対策への投資は業績アップにはつながらないだけに,CSIRTを設けるほどまで積極的になれない企業は少なくないだろう。実は,こうした企業の意識を変えることの方が,ゼロデイ攻撃や,それを仕掛けてくる犯罪組織よりも大きな敵なのではないか。そんな風に思ったりする。