11月16日,これまで平和な時代を謳歌(おうか)してきたと言えるWeb 2.0の世界に,衝撃的なニュースが走りました。Web2.0が浸透,定着してきたことを“裏側”から示す出来事として,本コーナーで取り上げないわけにはいきません。まずはこちらの記事をご覧ください。
■「ウイルス作者の新手口,Googleマップで感染マシンの場所を突き止める」
“散弾銃”のように進化したウイルスによる攻撃
マルウエア(Malware)とは,「malicious(悪意ある)」から派生した造語です。いわゆるコンピュータ・ウイルスやスパイウエア,またスパム・メールに仕込まれたフィッシング詐欺のURLなど,多くはネット経由で送りつけられる,悪意あるプログラムやコンテンツの総称です。上記記事によれば,感染の成功率を上げる手口が次の要素(アイデア)を備えて高度化していることがわかります。
1.自ら散弾銃(Wikipediaの解説記事)のように振る舞う(多数のウイルスを解凍して実行)か,またはダウンローダを動作させて,複数のウイルスを次々にダウンロードし実行させる
2.仕込んだダウンローダが別のダウンローダを自動的にダウンロードして実行し,さらに多種多様なウイルスの実行を試みる
多数の最新ウイルスを投入すれば,アンチ・ウイルス・ソフト更新の間隙を突いて感染させられる可能性が上がるだろう,という実に冷徹で論理的,かつ邪悪な発想です。2番目の特徴をとらえると「メタ・ウイルス」とも呼べそうです。しかし,ボットネットと呼ばれるマルウエアの一部のタイプなど,過去に“先発隊”が1回だけ別のウイルスの“手引き”をする手口はありましたから,「メタメタ・ウイルス」という名称が適当かもしれません。
仕組み上,ダウンローダ自体は,悪意のある動作をするとは限りません。ですから原理的には“善をなす”ソフトを導き入れて実行することも可能かもしれません。もちろん,相手の許可なくやってしまうだけで,少なくとも余計なお節介なわけですが…。ロビン・フッド気取りで受信者に他人の財産を分かち与える「義賊ウエア」なんてあり得るかもしれません。
いずれにせよ「手引き」をした時点,つまりWindowsファイアウオールや「セキュリティセンター」の機能を無効にする時点で,不正アクセス行為の禁止等に関する法律 ,いわゆる不正アクセス禁止法に抵触する犯罪行為であることは言うまでもありません。
侵入後はやりたい放題,マッシュアップまで
不正アクセスに続く動作として,悪意ある者(不正者)が用意したWebサーバーとウイルスとの間で,RESTに準拠したHTTPによる通信を開始します。そして,ウイルスにWebサーバーから新モジュールをダウンロードするよう指令がいきます。
つまり,動作原理上,次のようなことが可能です。このウイルスをばらまいた後で,不正者がWebサーバの内容,設定を変えることで,全然別の最新ウイルスをダウンロードさせられるように動作を変えてしまう――。
前述のITpro記事によれば,このウイルスはキーロガーなどのソフトをマシンにダウンロードさせ,キー入力情報を取得します。そして別のサーバーに,被害者のマシンのIPアドレスを送信。IPアドレスと緯度・経度の大まかな対応情報を得た後,そのサーバーに置かれたスクリプトを動作させて,被害マシンのおおよその位置を不正者に伝えるそうです。
IPアドレスから緯度・経度を得られるサイトがあるなんて,それはかなり“危険な存在”ではないでしょうか。まさかGoogleが公開APIとして提供しているはずはないだろう,と思いつつ,「GoogleMaps API」サイトや掲示板を読んでみました。やはり,外部のサイトでした。GMAP with IP Address という記事のスレッドが見つかりました。
ここにあるリンク先は,現在は消えています。あちこちを移動しているのでしょうか。情報の提供元であるHandler's Diaryによれば,こちらのロシア語のサイト(この記事を執筆している2006年11月17日現在は存在)上のperlスクリプトを実行すると,緯度・経度を得られるようだ,とあります(残念ながら私にはロシア語のメニューをいちいち試して技術検証する語学力がないので,これ以上の詳細はわかりません)。
上記の最終工程は,紛れもなく「マッシュアップ」の手法です。いや,一連の動作全体をマッシュアップ と呼んでも良いかもしれません。
思わず,このウイルスを作った不正者が,被害が広がる様子をGoogleMaps上で微笑みながら眺めている姿を想像してしまいました。まるでテロリストとの死闘を描いた米国のTVドラマ,「24」の悪役の親玉のようなシーンです。SFが現実化したとでも表現すべき,“クリエイティブな犯罪”を支える技術として,Web2.0的な手法が使われてしまった,というわけです。
どんな技術・アイデアも使い手次第
かつて,電子メールが届くとワクワクした平和な時代がありました。遠い昔のことではありません。UNIXのログインIDをもらって大学や会社のネットに入ると,"You've got New mail!" ――あるいは開封せずに2回目以降ログインしたら,"You've got mail." ――と表示されました。これは,明るくドキドキする出会いとすれ違いを描いた映画の題名にもなりました(邦題『ユー・ガット・メール』;主演:トム・ハンクス,メグ・ライアン)。ネットを経由して何か楽しいものがやってくる!と信じることができた,素朴な時代を象徴しています。
SMTPという電子メールを運ぶ仕組みは,当時からほとんど進化していません。開発された当初はあまりにも「性善説」に則っていたことから,後にユーザー認証機構や,暗号化などの仕組みが追加されてはきましたが。
セキュリティ対策は どうしても「いたちごっこ」からは逃れられないようです。不正者側が技術やアイデアでリードしてしまったが最後,前述の記事の結論にあるように,「あきらめてOSの再インストールからやり直す」ことになりがちです。
私たちソフトやサービスの開発・提供者が採り得る“メタレベル”の対策としては,不正者より早く,かつ高水準の創造性でビジネスをリードしていくことしかないような気がします。しかし,ソフトやサービスをリリース後しばらくの間は,一定の仕様のものを提供し続けざるを得ません。いくら「永遠にベータ版」であるといっても,使い方や動作が大幅に変わってしまうようなバージョンアップをそう頻繁に繰り返すわけにはいかないからです。
このため,「不正者からの攻撃が始まってはじめて防戦体制を敷く」というパターンから逃れられないのが現状です。抜本的な対策としては,社会システムを改善して,賢い人間が不遇な思いをしたり,反社会的な思想に走らないようにする,というテロ対策の本質と同じものしかないのかもしれません。
“軽量”技術の信奉者としては辛い
Web2.0的な手法が初めて犯罪に使われたこの驚きをテコにして,集中的に対策を考えるムーブメントを興したい。そして,同じような考えを持つ「同志」を増やしたい――。このような趣旨で,本稿を書きつづりました。
私がこのメッセージを特に強く呼びかけている相手は,シンプルなモジュールの組み合わせで高度なシステムを短期間に作れるような“軽量”の技術を提唱し,活用する仲間達です。RSSフィードや,blogのデファクト標準となったMovableType準拠のトラックバック も“軽量”技術の代表格といえます。「トラックバック・スパム」はすでに大きな問題になっています。これに対しては残念ながら,本来の機能に制限をかける対策か,ネット接続に制限を加えたり,先方のサーバー管理者に通知する程度しか有効な対策がないのが現状です。
このままでは,Web2.0の技術と思想の大きな構成要素の1つである「microformats(軽量のデータフォーマット;定番の定義,日本語解説が現時点では見当たらないのでとりあえずビジネスショウ2006の拙講演の『6.“microformats” KM2.0を制する鍵?』からp.42/60~をご参照下さい)」の将来にも,暗雲が漂ってきそうです。
善意のサービスについてはマッシュアップしたサービス全体をくるんで保護できる,悪意あるサービスについては確実に隔離できる,何か画期的なアイデアはないのでしょうか? 自分自身にも回答を迫りつつ,ここでひとまず筆をおきたいと思います。