それにしても,コンピュータ・ウイルスの新種の登場や,不正アクセスにつながるセキュリティ・ホール発見の報告が後を絶たない。こう言うと,「またセキュリティの話か」「マスコミはコンピュータ・ウイルスやクラッカについて大袈裟に扱い過ぎ」と思われる方がいらっしゃるかもしれない。
実は,筆者が約1カ月前に書いた記者の眼(注1)に対して頂戴したご意見のなかにも,そのような主旨のものがあった。そういったご意見があることを理解した上で,やはり私は,「インターネットが魅力的であり続けるためには,利用者側に暗黙のルールが必要だ」と主張したい。ここでのルールとは,「セキュリティに対する意識を持ち,他人に迷惑をかけないことを心掛ける」ということである。
「そんなことは一般社会でも同じ。インターネットだからといって特別扱いすべきではない」というのも,ごもっとも。ただ,インターネット利用のリスクが分かっている人は問題ないが,現状では,「他人に迷惑をかけるとはどういうことか」「その被害はどの程度か」「どうすれば迷惑をかけずに済むのか」をあまり理解していない人も少なくない。その点で,"現状では"インターネットは特別だと思う。
インターネット利用の敷居が低くなり,多くの企業や個人が活用しやすくなった。より多くの人が参加することがインターネットの価値をさらに高める。ぜひ参加し,活用していただきたい。ただその際に,次のことをもう一度確認しておいてほしい。
「セキュリティを考えていなければ,犯罪の片棒を担がされてしまう」
ウイルスに感染して発病したり,自分(自社)が公開しているWWWサーバが不正アクセスで被害を被ったと聞くと,何を思い浮かべるだろうか。ファイルの破壊?,データ漏えい?,データの改ざん?---批判覚悟で言い切ってしまうと,無防備だったがために自分が被害を受けたのであれば,それは自業自得。同情に値しない。
問題は,第三者に被害が及ぶことがあるという点だ。例えば犯罪者があるサイトに不正アクセスや攻撃を行う場合,自分のマシンから直接行うことは少ない。自分とは無関係なマシンをいくつか経由するのが普通だ。ここで使われるマシンを「踏み台」と呼ぶ。不正アクセスが発覚しても逆探知が難しく,犯人の特定を困難にさせる。今年初めに多くの官公庁のWWWサイトに不正侵入が相次いだときも,いくつかの無関係なサーバが踏み台にされた。
この例では,官公庁のサーバのセキュリティ強度がもう少し高ければ被害を防げたかもしれない。しかし,その直後に米Yahoo!,米Amazon.comなどを襲ったDDoS(Distributed Denial of Service)攻撃は,現状では完全に防ぐ方法はない。DDoSは,踏み台とされた数百,数千のマシンが一斉に攻撃対象のマシンにアクセスし,サービス停止などを引き起こす。現状で最良の防御方法は,世の中の踏み台とされやすいサーバを一掃することである。
コンピュータ・ウイルスにしても,発病すると,メール・ソフトのアドレス帳に登録されたメール・アドレスすべてに,その人の名前でウイルス付きメールを送り付けるものがある。
コンピュータ・ウイルスといっても所詮はプログラムなので,プログラムを起動する機会を与えなければ,感染することも発病することもない。だから,見ず知らずの人からきたメールに添付されたファイルは開かないし,仮に開いても「マクロに関する警告」が出たらマクロは動かさない,という人は多い。逆に言えば,ウイルスの作者はいかにプログラムを動かさせるかに悪知恵を絞っている。
感染者の名前を騙(かた)り,その知人にウイルスを送れば,「見ず知らずの人から」の部分はクリアできる。メールのタイトルも,その人が受け取ったことのあるメールのタイトルをそのまま転送するように変えれば,タイトルだけでウイルスだと気付かれることがなくなる。
普段は怪しいメールは即刻削除しているような人でも,知り合いから「I LOVE YOU」というメールをもらったら,しかも添付されているファイルが「LOVE-LETTER-FOR-YOU.TXT」と,まるでテキスト・ファイルのような名前だったら,思わず開けてしまうかもしれない(注2)。そして,対策を施していなければ何の警告もなしにウイルス・プログラムは動き出す。
犯罪者は,効果があるなら喜んで他人を利用する。利用しやすい人(マシン)を探している。そしてインターネットの恐いところは,空間を超越できるところだ。実社会で他人を利用する場合は,まずは直接接触したりする必要がある。しかしインターネットでは,地球の裏側にあるサーバでも簡単にアクセスできる。むしろできるだけ違う国のサーバを使ったほうが足は付きにくい。
踏み台になっているマシンは,それ自体は被害を受けないため,踏み台に利用されていることに気付きにくい。実際,つい先日も某大手SIベンダのサーバが踏み台にされていることが発覚したという。このベンダは踏み台にされていることにセキュリティ対策中に気付いた。気付かなければ,いつまでも踏み台にされ続け,被害サイトを増やしていたかもしれない。
なお,2000年2月に施行された「不正アクセス行為の禁止等に関する法律」では,セキュリティを考えていない無責任なサイトも責任を問われることになっている(注3)。
パッチを当てるなど,できるところから始めるだけでも効果大
誤解のないように断っておくが,「インターネットは恐いから使うのは止めましょう」と言っているのではない。「インターネットの利点をいつまでも享受できるように,皆で少しずつ考えましょう」ということだ。
他人に迷惑をかけないためにはどうすればよいのか。本格的にセキュリティ対策を施そうと思えば,労力もお金もかかる。しかし,自分が使っているソフトウエアにセキュリティに関するパッチが提供されたら当てるといった,できるところから始めるだけでも,効果は大きい。
自分がウイルスの感染媒体になってしまうことを考えて,「普段からファイルの添付は必要最小限に抑える」「HTMLメールは送らない」「セキュリティ・ホールが多く報告されているソフトは使わない」といった方針を立て,実行しておくのもよいだろう。普段は添付ファイルなどをしない人から添付ファイルが送られてきたら,相手も安易には開かない。
低価格な常時接続サービスを使ってWWWサーバなどを立ち上げる場合も同様だ。できるだけ最新のパッチを当てる,必要のないプログラムは止めておいたり,削除しておく。これだけでも,踏み台にされる可能性はかなり下がる。
インターネット利用のリスクとその回避法が広く認識される時代が早く来ることを望んでいる。
(小原 忍=日経オープンシステム編集長)
注1)2000年6月15日付けの記者の眼。タイトルは,「活用しやすくなったインターネットが利用者を遠ざける?」。
注2)ここでは説明は省くが,ラブ・レター・ウイルスを含めて,最近のウイルス
の添付ファイルは,まるでプログラムではないように見せかけている。また,添
付ファイルはなくても,HTML形式のメールの本文を開くだけで感染してしまうウ
イルスもある。
