悪のニュース記事悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。 また、記事に対するコメントや追加情報を投稿することが出来ます。 |
2002年10月11日(金) 18時10分
悪化の一途をたどるサイバー・セキュリティー(WIRED)http://www.aberdeen.com/ 米アバディーン・グループ社が最近発表した報告書によれば、デジタル世界の現状は悲惨だ。インターネット・サービス・プロバイダー(ISP)やネットワークの警備は突破され、世の中はウイルスだらけのコンピューターであふれているという。この報告書は大げさすぎると主張する専門家がいる一方で、新しい業界コンソーシアムが、セキュリティーホールを埋めようとするソフトウェア開発者を支援し、悪用をたくらむハッカーを抑えようと取り組んでいる。このコンソーシアムは、 http://www.microsoft.com/ 米マイクロソフト社、 http://www.oracle.com/ 米オラクル社、 http://www.guardent.com/ 米ガーデント社、 http://www.sgi.com/ 米SGI社、 http://www.nai.com/ 米ネットワークアソシエイツ(NAI)社、 http://www.bindview.com/ 米バインドビュー社など11社で構成されている。 報告書を作成した、アバディーン社の情報セキュリティー管理責任者、ジム・ハーリー副社長は、「ほとんどすべてのISPや……多数の大企業ネットワーク、ほとんどの一般向けパソコン」が、「電子偵察、電子探査、メール・マーケティング、スパム、電子盗難、サイバー犯罪、サイバー・テロリズム、電子IDの盗難、(あるいは)金銭の損失」を引き起こすようなアクティブ・コンテンツに汚染されていると結論付けている。 今回の調査によって、「このようなソフトウェアへの新しいタイプの侵入手口は、ほとんどチェックされることも、目にすることも、知られることもなく、ネットワークの端に備えられたファイアーウォール、ウイルス駆除用のスキャナー、ネットワーク不正侵入検出システムといった、よく使われているセキュリティー・ツールをすり抜け、静かに潜入していることが示された」とハーリー副社長は主張する。 こうした悪質なプログラムは、アニメーションや双方向マルチメディアといったウェブ機能の提供に使用されるアクティブ・コンテンツと同様の形の独立型プログラムである。(最近では、 http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-055.asp 『ウィンドウズ・ヘルプ』機能の悪用の例がある。) セキュリティー管理事業者のガーデント社のボブ・アンティア副社長(リスク・マネジメント担当)は、次のように述べている。「大企業に関しては、(報告書の)主張は非常に誇張されていると思う。大企業は一般的に、社内のデスクトップ機上で起こっていることに対して、かなりうまく対処していると考えている」 アンティア副社長は、平均的なエンドユーザーのパソコンが脆弱な要素を多く抱えている可能性が高いことは認めているが、ハーリー副社長が主張するほど問題が広がっていたら、「不正侵入による(悪い)結果をもっと目にしていてもおかしくないはずだ」とも述べている。 ガーデント社の創立者の1人、ダン・マッコール氏は、次のようにコメントしている。「この問題は、複雑さと人間性の暗黒面に端を発している。ネットサービスが複雑に進化するにつれて、悪人が利用できる新しいセキュリティーホールが増える。3年前、 http://www.cert.org/ コンピューター緊急事態対策チーム(CERT)が報告を受ける脆弱性は1日1件か2件だったが、今では1日12件ほどになっているだろう」 「将来どこかの時点で、このような脆弱性それぞれを利用する具体的な侵入方法が見つかる。以前は問題が見つかっても、侵入に利用されるまで9ヵ月から1年の猶予があり、手口が使われる前に修正することもできた。今では、数週間あればインターネット上で自由に侵入方法を知ることができる」 そこで登場したのが、業界コンソーシアムの『 http://www.oisafety.org/ オーガニゼーション・フォー・インターネット・セーフティー』(OIS)だ。 OISは、9月末に公式的な活動を開始したが、それに先立ち、 http://www.hotwired.co.jp/news/news/technology/story/20020619302.html あるメンバー企業が『アパッチ』サーバーの脆弱性を早く公開しすぎる(日本語版記事)という、当時まだ非公式だったとはいえ同団体の規則を破る行為に出るなど、波乱のスタートとなった。正式発足後、最初に取り組んだ問題に、自発的な脆弱性公表ガイドラインの確立がある。その目的は、セキュリティー上の問題をこっそり解決したいソフトウェア企業と、自分の成果を吹聴したがるバグハンターの間に張りつめている緊張の緩和だ。 バインドビュー社の情報セキュリティー担当副社長で、OISの広報担当者を兼任しているスコット・ブレイク氏は、アバディーン社の報告書をまだ読んでいないため直接はコメントできないとしながらも、アクティブ・コンテンツに関して、「ほとんどすべて」、あるいは「大半の」といった言葉は「かなり行き過ぎた表現に思われる」と述べている。 マッコール氏が説明したような脆弱性の発見から侵入への悪用の期間が短くなったことが主な原因となって、事態が悪化していることはブレイク氏も認めている。 「OISが独自に確立した基本的な行動規範には、脆弱性を発見した研究者は、先に公表するのではなく、まずはそのソフトウェア開発者に知らせるという項がある。また、ソフトウェア・メーカーは、発見通知に対して真摯に対処し、検証作業と脆弱性をふさぐ修正パッチ作成にあらゆる努力を払わなければならないとも規定している」とブレイク氏は語った。 [日本語版:南 雅喜/湯田賢司]日本語版関連記事 ・ http://www.hotwired.co.jp/news/news/technology/story/20021004302.html ウィンドウズ/UNIX「セキュリティー脅威トップ20リスト」最新版発表 ・ http://www.hotwired.co.jp/news/news/technology/story/20021003301.html コンピューターを乗っ取る新ワーム『バグベア』 ・ http://www.hotwired.co.jp/news/news/technology/story/20020905301.html MS、コンピューターからの締め出し攻撃について警告 ・ http://www.hotwired.co.jp/news/news/technology/story/20020805301.html HP、バグ情報を公開した企業に訴訟を起こすと警告 ・ http://www.hotwired.co.jp/news/news/technology/story/20020624303.html 『アパッチ』使用サイトに深刻なセキュリティー危機:ロシア大統領サイトも http://www.hotwired.co.jp/news/news/technology/story/20020619302.html 『アパッチ』サーバーソフトのセキュリティー警告は勇み足? ・ http://www.hotwired.co.jp/news/news/business/story/20020311103.html ハッカー侵入の一因は「ソフト提供企業」にあり ・ http://www.hotwired.co.jp/news/news/culture/story/20011214203.html 「インターネットの父」が米政府のコンピューター・セキュリティー構想の難点を指摘 ・ http://www.hotwired.co.jp/news/news/technology/story/20011004304.html セキュリティー上の最大の脅威は「標準インストール」 WIRED NEWSのメール購読申込みは http://www.hotwired.co.jp/reception/index.html こちらへ (WIRED) |