コラム
2005/05/26 20:29 更新
セキュリティホールは永遠に不滅
ここ最近のセキュリティ関連のニュースは気がめいるものばかり。コンピュータとネットワークが真に安全になる日は、多分、永遠に来ない。
私の目の前に今、セキュリティの専門家が座っている。彼からは、どうやって世界をより安全な場所にしようとしているかという話が聞けるものと思っていた。だが彼の話を聞いて、逆に恐怖におののいている。
私は彼に、自分が使っているオンライン銀行に認証トークンの送付を依頼したことを打ち明けた。取引額はもちろん少額だが、認証トークンがあれば万全と思い、届くのを心待ちにしていた。少なくとも、このセキュリティの専門家の話を聞くまではそう思っていた。
ところが、金融機関向けセキュリティ専門企業Cyotaのマーケティング担当副社長、アミール・オーラッド氏はこう言うのだ。「トークンによる認証は、つい最近までは非常に有効と考えられていた。だが今では、脆弱で、それほど効果的でないと考えられている」
オーラッド氏は、新たに発見されたトロイの木馬について説明してくれた。このトロイの木馬は、ユーザーがトークンを使ってオンライン銀行サイトの認証手続きを済ませるまでは、そのユーザーのPCの中にじっと潜んでいる。ユーザーが認証を受けると活動を始め、ユーザーが利用するオンライン銀行サイトでバックグラウンドセッションを開き、送金フォームを埋め、そのユーザーから巨額を盗んでしまうのだという。
複数のセキュリティベンダーが、1週間前は何でもないように思われ、今では心安らかでいられないこの問題を解決しようと懸命に作業を進めている。この話は私に、コンピュータとネットワークに関しては、本当の安全など、永久に訪れないのではないかという思いを抱かせている。
まだ入手してもいないトークンの価値が疑われていると聞いて私は、2週間前、Firefoxブラウザに深刻なセキュリティホールがあると知ったときと同じ、沈んだ気持ちになった。私は、セキュリティ確保のためだと思ってFirefoxを我慢しながら使っていたのだ。はっきり言わせてもらうと、Firefoxではちゃんと表示できないWebサイトがたくさんある。このブラウザだと、私の日々の仕事のうち、こなせない仕事がある。タブブラウザも、私にとってはどうでもいい。私がFirefoxを使う理由はただ1つ。あまり知名度の高くない、限界ぎりぎりで機能を果たせるブラウザだからだ。ハッカーにとって取るに足らない、貧乏な「ハイテク知識人」の仲間入りをすれば、身の安全が保たれると思ったからだ。しかし、こうなったら今後は、私もJavaScriptをオフにしなければならないのか?
友人たちは、私にOperaを使ってみればと勧める。勘弁してくれ。どうせ脆弱なブラウザを使うなら、Internet Explorer(IE)に戻る。IEなら、少なくともYahoo!で音楽ビデオを見ることができる。
IEとOutlookの、さらに深刻なセキュリティホールについて先週eEye Digital Securityが警告を出したことを誰かが指摘してくる前に、これだけは言わせてもらおう。それは私も知っている。だが予測できたことだ。なにしろIEとOutlookなのだから。
不思議なことに、数カ月ぶりにIEを立ち上げたら、昔ホームページにしていた地元紙のWebサイトに誘導された。すぐに、私の生まれ故郷のマサチューセッツ州ニューベッドフォード出身の若者が、先月ノーウォークで催された学生サイバーセキュリティコンテストで優勝したという記事が目に飛び込んできた。1つや2つではなく、3つのVoIP不正侵入を暴いての優勝だ。ブランドン・カバナー君、私は君を誇りに思う。だが、VonageのVoIPサービスを使うためにVerizonの固定電話回線を捨てたばかりの身としては、喜べないニュースではある。
私の問題が、IT全般に敷延して考えるにはささい過ぎると思うなら、私が危機を迎えた同じ週に、Soberワームが再浮上してドイツ語のスパムメールをばらまいたこと、またソフトウェアタイミング攻撃によって、Intelのハイパースレッディング技術を使うサーバで暗号鍵が流出しかねないという報告があったことを考えてほしい。さらに、有名なVPNプロトコルがごく簡単なツールに対して脆弱であることが判明。そして、いやはや驚いたことに、Microsoftの最新のセキュリティパッチには不備がありそうだ。グリッドコンピュータですら5月上旬を無傷で乗り切ることはできなかった。あるワームがSSHのユーザー証明書を盗んでオンデマンド王国に鍵をばらまいてしまう恐れがあるとの報告があったのだ。
スパイウェアは、ハッキングを肉屋の包装紙でくるんで値札を付けたようなものだが、変形があまりに多く、またさらに重要なこととして同類も多すぎるため、単純に法を適用することができない。
「十分な機敏性を確保する方法がない」。米上院商業科学運輸委員会の公聴会で、コンラッド・バーンズ議員(モンタナ州選出・共和党)はそう語った。
何ともありがたいお言葉だ。そんなわけで多分、この世界が非常に安全になることなど永久にないのだろう。ウェイトレスが私のクレジットカードを持って数分間どこかへ消えてしまっても耐えているし、ATMでは背後に目配りしなければならないことを私は知っている。恐らく、コンピューティングとは、リスクを受け入れつつ前に進むことなのだ。とはいえ私は、銀行の認証トークンがちょっとは気分を良くしてくれるものと、本気で期待していたんだが。
[Chris Gonsalves,eWEEK]
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2010. All Rights Reserved.
![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
技術者不在でも「すぐに使える」
業務でオープンソースは不安、は過去のこと
「どこでもオフィス」で業務効率アップ!
1日の処理を1秒にも――MySQLの達人が語る
「設備」「ネットワーク」「マネジメント」
「Windows 7搭載PC」で何が変わったのか?
「ノートPCの持ち出し禁止」だけで大丈夫?
トップエンジニア村上氏と上野氏が競演!
@IT「Windows 7」 特設サイトオープン!
IT基盤をアウトソースした中堅中小企業たち
企業はどこまでクラウドに取り組むべきか
@ITメールソリューションLive! in Tokyo
経営層が信頼から企業価値を生むために
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター