セキュリティ専門家のブルース・シュナイアー氏は、SONY BMGのrootkitがSysinternalsのマーク・ルシノビッチ氏によって発見されるまで何カ月もの間、セキュリティ業界がこのrootkitの存在を見逃してきたことを非難しているが、私は同氏の批判には部分的にしか賛成しない。
シュナイアー氏の批判の大半は実際のところ、この脅威について明らかになってからセキュリティ企業がなかなか探知機能を追加しなかったこと、またセキュリティ企業が不安定なデジタル著作権管理(DRM)コンポーネント全般ではなく、このrootkitだけを削除しようとしたという事実に対するものだ。
今回の件には、難しい問題が幾つもかかわっている。ユーザーにプラスになる行動を取っていないという理由で各種の業界に難癖をつけるのは簡単なことだが、シュナイアー氏や同氏のブログへのコメント投稿者が騒ぎ立てていることの多くは、仕方のなかったことだ。
何が「脅威」であり、何が「特別許可された操作を実行している合法なソフトウェア」であるかを判断するのは必ずしも簡単ではない、というのは紛れもない事実であり、この先もそれは変わらないだろう。例えば、format.exeはユーザーのハードディスクを破壊することもできるが、だからといって、マルウェアではない。ウイルス対策ソフトはこの違いをどのように判別すればいいのだろう? さらに重要なことには、今回のケースでは、信頼できるはずの2つの会社、SONY BMGとFirst 4 Internetがその信頼を裏切ったという点だ。そんなことをされれば、普通のセキュリティシステムにはお手上げだ。
ちなみに、お教えしておくと、First 4 Internetのrootkitやそのほかの多くの脅威から自分のシステムを守るためには、Autoplayを無効にするのが一番だ。これは、システムに大容量ストレージが接続された際にソフトウェアを自動実行するWindowsの機能だ。CD向けの機能として最もよく知られているが、例えばUSBメモリなど、すべてのメディアに機能する。
私は最近、あるセキュリティの討論グループで、セキュリティの権威であるソロモン博士(その後McAfeeによって買収された有名なウイルス対策製品の作者)と一緒になった。同氏は、SONY BMGのrootkitはなぜウイルス対策製品が探知すべき存在なのかという疑問を投げ掛けた(もちろん、レトリックとして)。その主要な答え、そしてrootkitが脅威である理由は、rootkitがDRM機能を実行するからではなく、rootkitが自身の存在を隠しながら、こそこそと第三者にシステムをさらしているからだ(ソロモン博士はセキュリティ業界にまだ多くの友人がいるが、金銭的な利害関係はない)。
それならば、Internet Explorer(IE)の古くてパッチの当てられていないバージョンも、ウイルス対策ソフトウェアによって警告されるべき脅威だということになる、と同氏は続けている。なにしろ、そうしたIEには野放しで悪用されている脆弱性が幾つも含まれているのだから。
この問題、特にウイルス対策ソフトがブロックすべき対象をどのように判断すべきかという問題の最大のポイントは、技術的なものというよりも、ポリシーに関する点だ。ソロモン博士が投げ掛けた疑問は非常に理に適っている。もちろん、ウイルス対策ソフトがSONY BMGのrootkitを探知し、取り除くのは理に適ったことで、パッチの当てられていないIEのコピーを排除するのは理に適っていないことだ。
セキュリティソフトウェアがパッチの当てられていない脆弱性を探し、それをユーザーに警告するのは理に適ったことだ。私は自分のPCでTrend MicroのPC-cillin Internet Security Suiteを実行しているが、このツールはパッチの当てられていないWindowsの脆弱性を1週間に1回探すようになっている。これは、便利なサービスだ。そして、私はもう1つ、こうした問題を改善するためのMicrosoftのサービスも利用している。私は、Trend Microがこうしたプログラムを排除することは望まない。
ここで重要なのは、IEはユーザーが自分の意志でコンピュータに置いている(あるいは、少なくとも、そこにあることを認識している)のに対して、マルウェアやSONY BMGのrootkitは隠れてそこに存在しているという点だ。これだけでも、こうしたプログラムを排除する十分な理由になる。
私は、セキュリティ企業がrootkitを見逃したことに関しては、ブルース・シュナイアー氏ほど憤慨していない。だが、その存在が明らかになった後、セキュリティ企業はもっと迅速に行動すべきだったはずだ。シュナイアー氏も指摘しているように、迅速に対応したのはF-Secureだけだった。同社が迅速に対応できたのは、マーク・ルシノビッチ氏やSysinternalsとともにWindowsにおけるrootkitの探知の最前線にいたからだ。そうでなければ、F-Secureがrootkitを発見することなどなかっただろう。
そして実際のところ、セキュリティ企業は主要なプログラムの各バージョンをすべて入手して、マルウェアでないかどうかをテストすべきだと本気で考えている人などいるだろうか? さらに言えば、セキュリティ企業はすべての音楽CDまでテストすべきなのだろうか? それは理不尽だ。
経験則の問題もある。このrootkitの存在が明らかになるまで、ウイルス対策製品にrootkitのシグネチャがなかったのが無理からぬことなのであれば、経験則がそれを見逃したのも無理からぬことだったのだろうか? こうした製品の大半は経験則が不十分だが、マルウェア全般の探知がうまいものもある。そうした製品もこのrootkitを見逃したのだろうか? 本当にそうだったのだろうか? rootkitを探知した製品があるのかどうかについては、まだ明らかになっておらず、現在調査中だ。
ブログやブログでのコメントで指摘されているように、First 4 Internetのような企業は実際、セキュリティ企業と協力し、自社のプログラムが悪性のものとして探知されないようにしている。これは良いことだ。ウイルス対策ソフトが合法なソフトウェアを誤って悪性と探知するようになれば、皆にとって良くない事態となるだろう。
(なお、News.comの記事では当初、First 4 Internetが今回のrootkitをめぐりSymantecと協力したかのように報じられたが、この件についてはその後、両社はFirst 4 Internetのデジタル画像ソフトウェアをめぐり協力していたという内容に訂正されている。)
今回の問題をめぐり、政府や業界、法律家がSONY BMGをしっかりと戒める必要があるのには、もう1つ理由がある。彼らは、普通の人であればウイルス対策ソフトによって探知されるに値すると考えるであろうようなソフトウェアを自社の顧客のシステムにインストールすることによって、信頼を大きく裏切ったのだ。正当なソフトウェア企業は用心すべきだ。SONY BMGは、顧客のコンピュータ上で自社の製品をスムーズに動作させるためのシステムを台無しにしたのだ。このまま、SONY BMGが処罰を受けずにいるのを放っておいていいものだろうか?
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
Special
PR