パソコンのセキュリティ情報について,一般ユーザーに広く確実に情報を提供する仕組みがぜひ必要だ---最近,筆者はこう考えている。
実際,WWWブラウザや電子メール・クライアントといったパソコン向けソフトウエアが抱える重大なセキュリティ・ホールの報告が増えている。一般ユーザーも,無関心ではいられない。新しい情報提供の形を検討すべき時期が来ている(参考:日経オープンシステム,2000年9月号「続出するクライアントのセキュリティ・ホール」)。
パソコン向けソフトのセキュリティ・ホールと言っても,サーバーと違い,大した被害はなさそうだと思われる方もいるだろう。しかし,そう安心してもいられないのだ。一般のパソコンにも,クレジット・カード番号やプロバイダ接続のためのパスワードといった個人情報,企業クライアントであればイントラネットの情報など,盗み出されれば被害につながる情報が格納されている。そして最近報告されているセキュリティ・ホールが悪用されると,これらの情報を不正に盗み出されてしまう恐れがある。
WWWブラウザのセキュリティ・ホールの例をいくつか挙げよう。
Netscape Navigator 4.0から4.74では,ローカルにあるファイルを外部に公開されてしまうというセキュリティ・ホールが知られている。JavaHouseメーリング・リスト世話人である,電子技術総合研究所 情報アーキテクチャ部主任研究官 高木浩光氏が,デモを公開しているのでご覧いただきたい。またInternet Explorerの5.5以前のバージョンには,悪意を持ったWWWサイト開設者が,アクセスしてきたパソコンを自由に操れてしまうというセキュリティ・ホールがある。
今年2月の官公庁のホームページに対する連続不正アクセスでは,「バッファ・オーバーフロー」と呼ばれるセキュリティ・ホールが悪用された。このバッファ・オーバーフロー,実はパソコン・ソフトにも存在する。セキュリティ対策サービスを手がけるラック(本社:東京都江東区)のホームページに,電子メール・クライアントが攻撃を受け,送りつけられたプログラムが動いた瞬間のパソコンの画面写真が掲載されている。
ダウンロードしたデータ・ファイルに攻撃プログラムが仕込まれる可能性もある。Acrobat Reader 4.05やMicrosoft Officeといったネットワークに直接接続しないソフトウエアにも,セキュリティ上の問題が見つかっている。
これまでのセキュリティ情報の主な対象はプロ
このように,セキュリティ・ホールが一般ユーザーの身の回りに増えている。問題なのは,セキュリティ・ホールの分かりやすい情報が,一般ユーザーに届いていないことである。恥ずかしながら筆者も,取材を始めるまではパソコンのセキュリティ・ホールがこれほどの問題を抱えているとは知らなかった。存在自体を知らずにいたセキュリティ・ホールもあった。
こうした状況に陥った理由の一つに,従来のセキュリティ情報が主にプロのSEを対象に出されていたことが挙げられる。情報の多くはサーバー向けだし,サーバーはプロの管理者が自己責任で管理しているという前提に立っていた。
確かに,企業内のクライアントで使われているパソコンなら,システム管理者が情報を収集し,管理すべきだろう。しかし一般の個人ユーザーにそれを求めるのは酷だ。情報を収集して教えてくれる人がいなし,技術的な知識を持たない一般ユーザーも少なくない。
一般ユーザーが被害を受けるという点では,コンピュータ・ウイルスも同様である。しかしウイルス対策には,必ずしも知識は必要ない。「アンチウイルス・ソフト」を常駐させ,パターン・ファイルを最新のものに更新さえすれば有効な手だてとなる。ユーザーに要求されるのは,パターン・ファイル更新のために画面上のボタンをクリックするくらいである。
セキュリティ・ホールへの対策は,こうはいかない。ユーザー自身が判断する部分があるし,能動的な処理が欠かせない。具体的にはこうなる。まず,自分が使用しているソフトに危険があるという情報を入手し,危険度を判断してソフトごとにやり方の異なるアップデートを行わなければならない。セキュリティ・ホールはプログラムのバグであり,バグを修正するアップデート(パッチともいう)を施すのが最も有効かつ確実な対策である。
しかし,情報入手のための環境が整っているとは言いがたい。多くの場合,ソフトウエア・ベンダーのホームページにアクセスしないと,問題があるのかどうかも分からない。登録ユーザーに問題をメールで通知してくれるベンダーも多いが,プリインストール・ソフトなどではユーザー登録をしていないケースもある。セールス・プロモーションのメールを受け取りたくないからと,あえてユーザー登録をしないユーザーも少なくないだろう。そのようなユーザーには,ソフトウエア・ベンダーからのセキュリティ情報やアップデート情報は届かない。
セキュリティ・ホールは,パソコンをクラッシュさせるだけのものから,データの盗み出しにつながるものまで多様だ。危険性に差があるし,悪用されやすさも異なる。しかも,ソフトウエア・ベンダーの提供する情報からセキュリティの重大さを判断するのは容易とはいえない。例えば次の文章から,セキュリティ・ホールで何が起こるのかを完全に理解できる一般ユーザーは少ないだろう。「悪意のあるWWWオペレーターが,その人のサイトを訪れたユーザーのマシンに対してそのコントロールを利用し、Office関数を実行する可能性があります」。
そのうえアップデートは,ダウンロードなどの手間がかかり,つい後回しにしてしまいがちだ。
わかりやすい情報を確実に届けるには
では,新しい情報提供の形はどうあるべきか。
正確な情報を広めるのは我々マスコミの使命である。今後も情報を収集し,正確に評価して発信できるよう努力していかなければならない。責任をひしひしと感じる。しかしマスコミだけでは手に余る面も少なくない。ソフトウエア・ベンダーも情報提供に積極的になってほしい。
「販促メールはいらないが,バグ/セキュリティ情報は必要」というユーザー登録の形があってもよいのではないか。しかも,危険を正しく評価できるように,なるべく平易な表現で伝えてほしい。難解な表現だったり,詳細情報が英語しかないベンダーもある。ユーザーが,バグやセキュリティ情報の提供体制をソフトウエア選定の基準にするようになれば,ベンダーの対応も変わってくるかもしれない。
ハードウエア・ベンダーが,自社製品の登録ユーザーに対して主要ソフトのセキュリティ情報を流すというのはどうだろうか。サポート面での差異化につながるはずだ。例えばNECは,2000年問題では他社製OSの情報をメールやWWWで情報提供した。セキュリティに関しても,問題の程度によって情報を提供する用意はあるという(ただし現時点で,対象となったセキュリティ・ホールはない)。ソニーでも,近くWWWのサポート・ページ上で紹介する予定だという。
このような情報提供体制が整っていない背景には,広範な被害が報告されていないことがある。被害がなければそれに越したことはない。しかし,ユーザーが気づかないうちにすでに被害が発生しているかもしれない。
今後日本でも,安価な常時接続サービスを利用する一般ユーザーが増えるだろう。インターネットの利便性と可能性が拡大する半面,一般ユーザーが危険にさらされる場面も拡大する。事件が発生してから対策を考えるのではなく,発生する前に防ぐことができればと思う。
(高橋 信頼=日経オープンシステム編集)