ちやほやされるWeb2.0に潜むセキュリティ
シマンテックが、プレス向けに2006年のセキュリティ動向ピックアップの解説をおこなった。ここ最近のセキュリティ関連のトピックやトレンドについて説明があり、なかなか興味深いものだった。
解説をおこなったのは、セキュリティ レスポンス オペレーションディレクターのケビン ホーガン氏。現在シマンテックでは、東京、サンタモニカ、ダブリンの3拠点で、各地のデイタイムを8時間ごとに切り替え、世界中を24時間体制で監視し対策措置を施しているそうで、これがセキュリティ レスポンスの重要な仕事ということになる。
セキュリティ製品、サービスベンダーの役割は、かつてはウィルスなどを黒なら黒と判定し対策を提供すればそれでおしまいだったが、いまでは白黒の判定だけでなく何が信用できるかも提供していかなければならなくなってきているとのこと。ブラックリストではなくいわゆるホワイトリストのようなものだ。さらに、たんに黒というのではなくどんな黒なのかということも明らかにしていく必要が出てきているとか。それだけ、セキュリティ対策が複雑化しているようだ。
また、DOS時代に流行ったファイル感染型の「純粋なウィルス」が最近増えているとか。もちろんいまではDOSの実行ファイルではなく、Windowsの実行ファイルに感染するものだ。これは、自分の出自であるとかやろうとしていることを隠すために、P2Pや共有フォルダなどを介して広がるファイル感染型になっているようだとのこと。
たとえば、この感染型は自分の作ったワードの文書ファイルなどに感染し、開くとなんらかメッセージは出るものの文章はそのまま見ることができたりでなかなか気がつきにくいとか。そして、ウィルスの機能としては、実行されるあるいは開かれると別のファイルをダウンロードするだけで、サイズは非常に小さく発見しにくいものとなっているとのこと。最近の傾向として、まずはなんらか些細なものが実行され、その結果新たなトロイの木馬やバックドアなどを取ってくる、あるいはインストールさせるという2段階になっているようだ。このあたりの話は、セキュリティに関心をもっている方々にはなにを今更という話かもしれない。
今日の話のなかで興味深かったのは、Web2.0関連の話題だ。考えてみればもっともだなということだが、Web2.0の中核的な技術ともいえるAjaxはスクリプト言語であり、半分はサーバー、半分はクライアントで動くといえる。また、データやコードをローカルでも保持することにもなる。これらにより、ユーザー環境に自由度や利便性が増すわけだが、そのぶんセキュリティの脅威は増えることになるという。いまのところは大きな悪用の事例は出ていないが、このスクリプトベースの脅威はこれからもっと増えるだろうし、実際に現状でも増えてきているとのこと。利便性と危険性は、表裏一体といったところか。
さらに、Web2.0の典型的なサービスともいえる、SNSのような世界でも悪質なリンクを挿入したりといった新たな脅威が発生しているとか。「人が行くところにはセキュリティリスクもついてくる」とケビン氏は言うが、SNSに人が集まれば集まるほど新たな脅威が発生するリスクは高まりそうだ。これらWeb2.0世界の脅威に対しては、たんにウイルス対策ソフトを導入していればなんとかなるというものでもない。対策の決定打はないので、世の中にどんな脅威があるか、そのためには常日頃どういったことに注意していなければならないのか、そういったことを頭に入れた上で利用するしかなさそうだ。SNSは紹介制だし安全な空間かなと期待もしていたが、結局のところインターネットに繋がる世界は治安のよろしくない外国のようなもので、常に緊張を強いられる場所なのかもしれない。