WPA2の脆弱性は“大げさ”だった？ 「初報だけ盛り上がる問題」を考える：ITりてらしぃのすゝめ（3/3 ページ）

[宮田健，ITmedia]

もう1つの重要なポイント――「名前が付いていない脆弱性」の存在

　さて、ここまでは「初報で話題になりやすい」名前の付いた脆弱性についてまとめました。しかし、世の中には名前の付いていない脆弱性の方が多いことを忘れてはなりません。

　多くの場合、名前の付いていない脆弱性は「問題だが、即座に影響が出るとは考えにくい」というものです。定期的に行われるOSのアップデートなどに含まれるので、この点でも「最新のOSを適用しましょう」ということになります。

WPA2の脆弱性を発見したヴァンホフ氏が開設したWebサイト。脆弱性の詳細やデモ動画などを公開した

　ただ、大きな課題として、ごくたまに「名前は付いていないが、深刻な影響がある」脆弱性が存在します。この場合、報道もほとんど行われず、その裏で深く静かに攻撃が進行している可能性があります（過去の事例では、企業内のActive Directoryに残る脆弱性はその深刻度の割にあまり話題になっていませんでした）。

　さらに、名前が付いた脆弱性で、初報は影響範囲がさほど大きくないと思われていたものが、注目が集まったことで多くの研究者が検証を行い、実はより深刻だった、というパターンもあります。

　この場合、「脆弱性があったがさほどではない」というものが報道された後、パタリと続報が聞こえなくなってしまうため、これにも気を付けなくてはなりません。

　これまでならば、脆弱性などはセキュリティに関わる専門的なエンジニアだけが気を付ければいいものでした。しかし現在では、老若男女問わず手元にはスマートフォンが握られています。

　スマートフォンとは個人情報が詰まった、一昔前のスーパーコンピュータレベルの処理ができる立派なデバイス。残念ながら、個人も脆弱性とは切っても切り離せなくなってしまいました。

　脆弱性の報道は、初期報道では加熱しすぎるくらいセンセーショナルに報道され、その後一切続報が出てこないことが往々にしてあります。それは今回の「KRACKs」でも同様です。

　今後、企業だけでなく個人にも影響がある脆弱性が新たに発表されるでしょう。そのときには慌てず騒がず、「原因は何か」「既に攻撃を行える感染経路があるか」「回避策があるか」のポイントを把握し、それが出そろうまでは右往左往せずに静観。そして続報に関しては積極的に継続ウォッチするよう心掛けてください。