数年前、ソフトウエアの脆弱性を放置するとどうなるかを実感した出来事があった。自宅のパソコンにインストールしておいたリモートデスクトップソフトの脆弱性を突かれて、知らない間にどこかの誰かにパソコンを勝手に操作されてしまったのだ。その「事件」以降、セキュリティに対する意識は変わった。最終的には被害はなかったが、読者の方にデジタルデバイスの使い方を見直してもらうきっかけになるとは思うので、ここにその顛末をまとめておく。

本当に深刻だった脆弱性を知らずに使い続ける

 昨今は企業のWebサーバーの脆弱性を突かれて乗っ取られたり、情報が流出したりといった事例が大きな話題になる(図1)。その一方で、クライアントパソコンで使う様々なアプリケーションやOSそのものにも脆弱性はある。

図1●これも筆者が体験したWebサイトの乗っ取り事例。ベンチマークソフトを手がける英SiSoftwareのWebサイトにアクセスしたところ、上のような画面とアラビア語のメッセージが表示された。これは愉快犯なので分かりやすいが、効率良く訪問者を攻撃する場合はサイトの見た目は変えないのでやっかいだ
図1●これも筆者が体験したWebサイトの乗っ取り事例。ベンチマークソフトを手がける英SiSoftwareのWebサイトにアクセスしたところ、上のような画面とアラビア語のメッセージが表示された。これは愉快犯なので分かりやすいが、効率良く訪問者を攻撃する場合はサイトの見た目は変えないのでやっかいだ
[画像のクリックで拡大表示]

 筆者の場合、脆弱性を突かれたのは、著名なリモートデスクトップソフト「Real VNC」だった。4.1.2より前のバージョンには、パスワードを設定してあっても接続できてしまう脆弱性があった。当時話題になり(関連情報:Real VNC Server に認証回避が可能な脆弱性)、2006年5月に修正版のバージョン4.1.2が登場していたのだが、筆者は全く気付かずに5月以降も使っていたのだった。

 2006年の夏に、自宅のパソコンでReal VNCをサーバーとして起動し、外部から接続するためにブロードバンドルーターのポートを開放しておいた。帰省先の実家から自宅のパソコンを操作するためだ。特に大した目的があるわけでもなく、パソコンでテレビ番組をきちんと録画できているか確かめるとか、パソコンに接続したPCカメラで観葉植物の様子を見るためとか、そんな用事だった。パソコンの電源は入れっぱなし、Windowsにログオンした状態にしておいた上でReal VNCにパスワードを設定し、ダイナミックDNSのセットアップも済ませてから自宅を出発。午後にはおよそ250km離れた実家に到着、その日はそのまま過ごして寝た。