Pocket

※任意団体SPREAD当時に公開されたコラムです。

サイバー大学 准教授/IPA非常勤研究員/SECCON実行委員  園田 道夫氏

前回は、ソフトウエアのアップデートについて書きました。内容についてざっとおさらいしておきましょう。
OSのアップデートは比較的早い時期から自動化され、メーカー側の努力もあって社会に広く浸透しましたが、アプリケーションやソフトウエアのアップデートの方はまだ十分に浸透しているとは言えません。添付ファイルの拡張子を調べて開くべきかどうかを決める、そのために必要なノウハウを蓄積するよりも、そもそもリスクを減らすために不定期に公開されるソフトウエアのアップデートをきちんと適用しましょう。そういう話を書きましたが、覚えていますか?

この「不定期」であるというところが少し面倒なのですが、最近のソフトウエアは起動時に自動的に更新の有無をチェックして更新が有れば知らせてくれるものが多いので、お知らせのダイアログなどが表示されたら更新しましょう、という覚え方でもOKです。ただし、知らせてくれないソフトウエアも少なからず存在しますので、そういうソフトウエアを利用するときは自分自身で気をつける必要が有ります。今使っているソフトウエアが知らせてくれるものなのかどうかは、ヘルプなどのメニューに良く見られる「○○について」(○○にはそのソフトウエアの名前が入ります)という情報表示機能などで確認できます。ただバージョン情報を表示するだけの「○○について」も有りますので、その場合には開発元の情報などを当たると良いでしょう。

さて、ここまでは主に、怪しいソフトウエア(含むウイルス)についての話でした。
ここからは怪しくないソフトウエアの危険性についてお話していきます。

「怪しくないソフトウエアの危険性」???

怪しくないのなら危険ではないはずなのにおかしい、と思われるかも知れません。確かにその通りです。かなり矛盾した表現ですが、実は、怪しくない(と見える)ソフトウエアでもその本質が怪しいことがあるのです。
今ちまたを賑わせている遠隔操作事件というのをご存じでしょうか?全く見に覚えが無いのに、掲示板などに大量殺人予告を書き込んだと疑われて逮捕されたものの、実は真犯人によって遠隔操作されていた、という事件です。この事件での遠隔操作には二種類の方法が使われています。ひとつは書き込みをされた掲示板のソフトウエアの欠陥(=脆弱性)を悪用する方法ですが、もうひとつは遠隔操作用のソフトウエアを言葉巧みにダウンロードさせて、自ら利用させてしまう方法です。
遠隔操作の標的になってしまった結果、誤って逮捕までされてしまった人たちは、匿名掲示板で「リネームソフトウエア(=複数ファイルのファイル名を一括して変更するソフトウエア)を探しています」などと書き込み、それに応じた真犯人が「お探しのソフトウエアはここにあるよ」などと書き込んだものをダウンロードして、自ら起動しました。迂闊としか言いようが有りませんが、しかしみなさんはこれのどこが迂闊だと思いますか?
一つ目の迂闊さは、匿名掲示板の情報を特に警戒することもなく信じてしまったことでしょうか。しかし、もしかしたら示されたファイルをダウンロードしてきても、それが危険なものならウイルス対策ソフトウエアが反応するはずだ、と思っていたのかも知れません。事実、誤認逮捕された人たちはウイルス対策ソフトウエアをきちんと利用していたようですし(全員がそうだったのかどうかはわかりませんが)、それが反応しなかったというのもまた事実であるようです。
今コンピュータウイルスは大量生産時代に入っています。2007年頃にウイルスの簡易作成ツールが世界中に広まってから、ウイルスを作成できる技術者と知り合いにならなくても誰でもウイルスを作成できるようになりました。参入障壁が一気に低くなった結果、世界中の、特にITに詳しいわけでもない悪い人たちがウイルスを作り始め、ウイルス対策ソフトウエアのメーカーが捕捉しきれないほどの大量のウイルスが生産されるようになってしまいました。
つまり、誰でも簡単に、全く新しいいウイルスを作ることができるようになったのです。

遠隔操作の真犯人は、これまで温めていたであろう構想を実現するために、新種のウイルスを試行錯誤しながら作成したようです。世の中に初登場とあれば、そもそも検知できなくても不思議はありませんし、もしかしたらあったかもしれないある種の思い込み、「おかしいところがあればウイルス対策ソフトウエアが知らせてくれる」というのは実現しなかったのでしょう。思い込み、というのは少し酷な表現かも知れませんが、少なくとも今は100%検知できるような状況ではないと言えます。
しかし、ウイルス対策ソフトウエアが頼りにならないことがあるとすると、誰かが紹介してくれた「リネームソフトウエア」や「タイマーソフトウエア」というものが怪しいかどうか、使う人が自分で見極めなければなりません。どうやって見極めたら良いでしょうか?

やはり拡張子を見て・・・、とそこに話が戻ると思いますか(笑)?
残念ながら、前回も書いたとおり拡張子を見て判断する、というのは難しすぎます。ここで言えるのは、少し漠然としてしまいますが、きちんと状況判断をしましょう、ということです。
遠隔操作の例で言えば、「匿名掲示板で書かれた情報を安易に信用するな」ということですね。また、DropBoxというファイルをアップロード、共有するサービスにアップされたものだったようですが、ベクターなどの有名どころではなく、誰がアップしたかもわからないようなところからダウンロードしてくる、というのは迂闊であると言われても仕方がないでしょう。仮に手元にファイルをダウンロードしてきたとしても、そのファイルの名前で検索してみるなどの使用前調査を行っていれば、該当する結果が無かったとしても、怪しいと騒いでいる情報に行き当たったとしても、いずれにしても何らかの判断材料が得られたはずです。あるいはその匿名掲示板の書き込み前後を詳しく読めば反応含めた情報が得られるかも知れませんし、怪しいと気付くチャンスはもっと広がったのではないでしょうか。
なぜそういう調査を行わなかったのでしょうか。
当たり前ですが、「怪しいものが自分のところにやって来るとは想像していなかった」からではないでしょうか。
この文章を読んだみなさんであればそんなことは無いわけですし、適切に警戒して、同様のソフトウエアを探すときもまずは有名どころのファイルを探すことでしょう。むしろみなさんに求められるのは、周囲の誰かに危険性を説き、啓発することだと思います。「来るはずがない」と思っている人には「危険が身近に転がっていて、警察に逮捕されてしまうかもしれない」と説き、その怖さを認識してもらうところから始めると良いでしょう。