「Webのヒーロー」は誰だ？

[Jim Rapoza，eWEEK]

　かつてティナ・ターナーは「ヒーローは1人でいい」と言ったが、わたしとしては何とも言えない。今もインターネットセキュリティに試行錯誤しながら、ヒーローを探し求めているからだ。

　それは一体どんなヒーローだろうか？　ソフトベンダーが悪党に利用されかねないずさんで穴だらけのコードをリリースしている現状を招いてしまった風潮や意識と戦ってくれるのだろうか？

　こんなヒーローがいたら、ベンダーにバグだらけのコードをリリースさせないだけでなく、ソフトメーカーがどんな問題にも迅速に対応し、ユーザーから問題を隠すことなどしないように力を尽くしてくれるだろう。

　ここ数カ月、ある人物が自らこのようなヒーローとして登場してきた。セキュリティ研究者のHD・ムーア氏だ。オープンソース侵入テストツール「Metasploit」を開発したこと（そして脆弱性テストコミュニティーで物議を醸したこと）で有名な同氏は、最近インターネット上で深刻な脆弱性を公開するために、幾つかの話題のプロジェクトを立ち上げた。

　その1つが「Month of Browser Bugs（MoBB）」プロジェクトだ。このプロジェクトの下、同氏は7月の間、人気Webブラウザの脆弱性の実証コードを毎日リリースした。同月にはさらに、Web上で公開されているトロイの木馬などのマルウェアを検索できるGoogleベースの検索エンジンを開発した（7月27日の記事参照）。

　ムーア氏のプロジェクトは一部のベンダー、セキュリティ研究者、そして（同氏によれば）ブラックハット（悪玉）ハッカーの怒りを買ったが、それはおおむね良いことだと思う。

　わたしからすれば、公開されている欠陥は、ベンダーが隠している欠陥よりもずっとマシだ――悪党が既に欠陥を利用していることが分かるし、それを知ることで自衛できる。ムーア氏の検索エンジンアプリケーションにより、多くのサイトは、自分のサイトに感染している――しかも自分では感染に気付いてもいないかもしれない――トロイの木馬やその他の不正コードをもっと簡単に見つけられるだろう。

　だがそれでも、わたしはムーア氏が一人前のヒーローの資格を持っているとは思わない。

　ヒーローのマントを着るにふさわしいのは、Web閲覧や電子メールの使用に際して、皆に実際に基本的な予防策を取らせることができる人物だ。皆が愚かにも予防策を取っていないことが、ウイルスやトロイの木馬がインターネット中にかくも容易に広まっている原因の1つなのだ。

　この数年、わたしはこうした連中に言い聞かせるために、恥をかかせるとか、バカにして笑うとか、良識に訴えるとか、考えつくあらゆる方法を試してきた。だがそれでもウイルスやトロイの木馬は、添付ファイルやサルもだませないはずのフィッシングの手口を介して広がっている。だが、その後わたしはニュースサイトのArs Technicaで目にしたのだ――皆に安全にインターネットを使わせるため、ついに真のヒーローが登場したと思わせる見出しを。「ジャック・バウアーがインターネットセキュリティの安全を推進」――これだ！

　皆に賢いインターネットの使い方をたたき込むことに関して、「24」のジャック・バウアー以上の適任者がいるだろうか？　つまり、大統領も怖がらせる彼なら、広告で皆に言うことを聞かせられるということだ。

　ちょっと想像してみてほしい。送られてきた電子メールの添付ファイルを何でも無責任に開いたり、不審なWebサイトにアクセスしたり、シリアの電子メールアドレスから送られてきたソフトをロードしたり――古き良き無責任な時間を過ごしていると、ジャック・バウアーがやって来て胸ぐらをつかんでこう言うのだ。「安全なインターネットの使い方を今覚えるか、後で覚えるか。後の方ならもっと厄介なことになるぞ」

　これはいい。皆すぐにウイルスをスキャンして、添付ファイルを無視するだろう。

　だがあの見出しは、24でジャック・バウアーを演じるキーファー・サザランドが、commonsense.comでティーンに安全なインターネットの使い方を宣伝するという事実を指していることが分かった――それはそれで立派なことだが、奇妙な添付ファイルを開いてしまう人たちを止める役にはあまり立たない。

　ジャック・バウアーに無責任なインターネットユーザーの指を折ってもらうことはできないのだろう。ムーア氏のプロジェクトは素晴らしいが、同氏だけではセキュリティを最優先にしない多くのソフトベンダーの文化を変えられない。わたしたちはただ、周りの人たちを啓発し、自分のシステムを守ることに最善を尽くすしかない。デビッド・ボウイの言葉を借りて言えば、「わたしたちはヒーローになれる」のだから。

原文へのリンク