3日の「日経バイトの誤報は訂正されるか」 の件、昨日発売された日経バイト2006月1月号で、「編集後記」のページ (p.128)に訂正文が掲載された。次のように書かれている。
●2005年12月号58ページ,3段目の16行目に「ちなみに,同社のデータベース に送信したドメイン名などは保存していないという」とトレンドマイクロの取 材に基づき記述しましたが,その後トレンドマイクロから「データベースに送 信されたURLの一部を保存している」と取材内容の訂正がありました。お詫び して訂正いたします。
編集後記――バグ・ログ――, 日経バイト2006年1月号, p.128
訂正はされたものの、結局、「スパイウェアとは何か」、「ユーザの挙動情報 を送信するソフトウェアに求められる責任は何か」といった記事が書かれるこ となく、日経バイトは休刊となってしまった。
ソニーBMGのrootkitまがい音楽CDの件や、マルウェアに該当するスパイウェア (パスワードを盗み出すものなど)の件が社会問題として騒がれている今こそ、 ビジネスとして「何をやってはいけないのか」の認識を深めるべく、そうした 記事が書かれるべきだった。
……と落胆していたところ、日経バイトのWebサイトにも訂正文が掲載されているのを見つけた。 日経バイト本誌とは別の記述が追加されている。
2005年12月号58ページ,3段目の16行目に「ちなみに,同社のデータベースに 送信したドメイン名などは保存していないという」とトレンドマイクロへの取 材に基づき記述しましたが,その後トレンドマイクロから「データベースに送 信されたURLの一部を保存している」と取材内容の訂正がありました。お詫び して訂正いたします。この仕組みはプライバシーにかかわり得る情報 を収集していることとなり,スパイウェアの一種だと見なされても仕方がない と結論づけざるを得ません。
日経バイト2005年12月号訂正, 日経バイト
記者の無念さが伝わってくるが、残念ながら読者に伝えるべきことはそこでは ない。
どんな情報を無断で送信することが一線を越えることになるのか、送信する場 合にユーザに説明するべき事項とは何か、説明が正確でなければならないこと、 スパイウェアはなぜスパイウェアと認定されているのか、収集目的が正当と確 信していれば何をやってもよいのか、一流の企業がなぜ説明を怠ってしまうの か――などを伝える必要があった。
日経バイトは休刊となったが、日経BP社なら必ずやってくれると思う。
昔から、「ウイルス対策会社は本当はウイルスが蔓延して喜んでいるのではな いか?」とか、「ウイルスを撒いているのは実はウイルス対策会社じゃないの か?」などという声をよく耳にしたものだが、それは下衆の勘繰りだろう。そ のような言葉を発する人はたいてい、品のない表情をしている。
最近ではそのような声を聞くことが少なくなった。現実として、ウイルスは蔓 延し、スパイウェアによる実害も続出し、アンチウイルスは、社会にとってセー フティネットとして欠かせないソフトウェアとして認識されるようになった。
そうした認識が形成される前の、2000年から2001年ごろを思い返すと、セキュ リティ関係者は、ウイルス対策ソフトを普及させることに躍起(あるいはそれ で精一杯)になっていた。新しいウイルスが現れて騒動になると、それを伝え るマスコミ報道に登場する「専門家」は、「ウイルス対策ソフトを入れること」 「ウイルス対策ソフトを最新のものにすること」とコメントしていたものだ。
本当は、真に必要な対策は脆弱性パッチを適用する体制を整えることであるに もかかわらず、当時、それを伝える大手マスコミは皆無に近い状態だった。 2000年の省庁Webサイト改竄事件のときでも、「ファイアウォールを導入して いなかったのが原因」などと報道されるだけだった。当時の私は、「どうして 脆弱性のことを報道しないのか」と苛立ったものだ。
それが、2001年3月のNHKニュース(おはよう日本)で、ついに「ソフトウェア の欠陥」という表現が使われるようになった。当時としては画期的な報道だっ た。
千葉県にある職業訓練施設でも、今月4日にホームページが書き換えられ、修 復に2週間以上かかりました。 侵入を防ぐためのソフトを導入するなど、必要な対策はとっていたと思ってい ました。
「本当にまさかうちがというような感じでございます。対策立ててるのに、 またなんでやられたのかなという、本当にショックでしたね。」(雇用・能力 開発機構 情報システム課長談)
(略)
「今回の一連の事件の背景には、プログラムの欠陥というものがあります。 専門用語ではセキュリティホールと呼んでいますけども、こういうセキュリティ ホールが数多くあって、それらが放置されているコンピュータが世の中にある と。これが狙われたということです。」 (情報処理振興事業協会 セキュリティセンター所長談)
(略)
ホームページで情報を公開する企業や団体は、ソフトの欠陥にすばやく対応す ることが求められています。
おはよう日本, NHK, 2001年3月22日
消費者側の脆弱性パッチの話が大手メディアに登場したのは、Nimdaワームが 登場した2001年9月以後のことだった。
ところがこのソフトウェアには、利用者が確認をしないのに、一部のプログラ ムを勝手に取り込んでしまう欠陥がありました。Nimdaはこの欠陥を利用し、 利用者が知らないうちにパソコンがウイルスに感染するように作られていたの です。
(略)
メーカーは今もソフトウェアの欠陥を公表し、利用者に対応方法を紹介してい ます。
(略)
世界中で広がったNimdaの被害は、コンピュータウイルスへの新たな対応が必 要なことを示しています。
「メーカーでは、ソフトウェアの欠陥について、その内容あるいは対応のし方 というのを利用者に知らせる対策をとっているんです。その対策、ちょっ と難しい中身なんですけども、いずれにしても、利用する私達の側もですね、 こうした情報に常に関心を持つことが必要なようです。」 (キャスター談)
ニュース10, NHK, 2001年10月25日
これも当時としては画期的な報道だった。
そして現在、残された課題は、スパイウェア(あるいは「マルウェア」、つま り悪意あるプログラム)対策と、フィッシング対策である。 フィッシング対策は、ユーザのリテラシ向上が事の本質だが、またもやマスコ ミは肝心なことを伝えない。 これについては、2月11の日記「フィッシング 報道に見るテレビによる啓発の限界」に書いた。 そして、マルウェア対策。これは、拡張子を正しく見分けるリテラシを身につ けることが問題解決の本質であるが、これもなかなか伝えられない。 これについては、Network Security Forum 2005での講演で話した。
アンチウイルス(スパイ)ソフトを買うのもけっこうだけども、それで問題が 解決するかのように言いふらすのは、詐欺だろう。
その点、これまでの大手アンチウイルスベンダーは、きちんと言うべきことを 言っていた。
にもかかわらず、MSBlastは急速な拡大を見せた。
この原因を星澤氏は、大きく2つに分けて指摘している。1つは、各クライアン トでの対策も含んだトータルなセキュリティ対策の欠如だ。
(略)
もう1つ星澤氏が指摘したのは、ユーザーのセキュリティ意識である。セキュ リティの維持には、関連情報に気を配り、適宜パッチを適用するという継続的 な作業が不可欠だ。これはWindowsであろうと他のOSであろうとまったく同じ ことである。
しかし残念ながら、「セキュリティホールを修正するためのパッチを 当てていなかったのがMSBlast拡大の一番の要因」(同氏)。逆に言 えば、問題が公表されればそのつどパッチを適用し、ウイルス対策ソフトウェ アの更新も行っていれば、MSBlastに感染してあたふたすることもなかった。 MSBlastは多少痛い教訓ではあるが、「これを機会に(パッチの適用 を含めた)セキュリティ意識が浸透するよう期待したい」と星澤氏 は述べている。
沈静化へ向かうMSBlastがあぶりだしたユーザーのセキュリティ意識, ITmedia, 2003年8月18日
アンチウイルスベンダーの立場からしてみれば、消費者には脆弱性のことなぞ 知らないままでいてくれた方が、製品を売り込みやすいという構造があるはず だ。ともすれば、「製品が防ぎますので、煩わしい脆弱性パッチは気にせずに 済みます」という宣伝に走りかねない。にもかかわらず、上の記事のように、 これまでの例ではきちんと、アンチウイルスソフトに限界があることを示しつ つ、一番の対策は脆弱性パッチをあてることだと、アンチウイルスベンダーの 専門家も言葉を添えるようにしてきていた。これは、セキュリティ対策という ものをビジネスにする上で、企業としての品性を失わないための最低限のマナー であろう。
ところがである。先日のInternet Week 2005の中で開催されたJNSA主催の 「Security Day」のパネル討論「【徹底討論】ボットネット対策 ボットネットの脅威 − 動向、対策を考える」 を見に行ったところ、エゲツない営業トークを耳にした。
討論で、ボットに知らずに感染し続けている消費者がいっぱいいるが、どうし たらよいだろうかという議論の流れで、議論が行き詰まりかけたとき、アンチ ウイルスベンダーを代表して登壇していた方が、正確な表現は覚えていないが、 次のような趣旨の発言をしていた。
「リテラシーを高めるのが無理な方々がいらっしゃる。そこを弊社のサービス がお役に立てればと考えている。あ、宣伝になっちゃいましたか?」 (高木の記憶により再現した発言の要約)
元々、初期のアンチウイルスソフトというのは、ユーザがいくら気をつけてい ても防げないタイプのウイルス感染を検疫するものだった。他人から預かった MS-DOSのフロッピーディスクを入れると、そこに入っているCOMMAND.COMが起 動して、それがウイルス感染しているとか、まさに、生命体における伝染病の ように已む無く感染を広げていくものだった。昔のMicrosoft Officeのファイ ルは、開くとプログラム(マクロ)が動くものだったため、仕事で同僚や顧客 が送ってくるOfficeのファイルを開かざるを得ないときには、アンチウイルス による検疫が必須だった。
だが、最近の状況は異なっている。Microsoft Officeもデフォルトではマクロ が自動で動かないようになり、そういった理由で検疫する必然性は縮小した。 今、アンチウイルスがやっていることは、脆弱性を突いて起動するものや、ユー ザの無理解ないし誤操作によって起動してしまうマルウェアを、阻止すること である。これは昔と違って本質的に必要なことではない。脆弱性をなくし、プ ログラムを含み得る拡張子のファイルを起動しないようユーザが理解すること で、解決が可能なことなのだ。
だから、今第一に行うべきことは、ユーザへのリテラシ教育に他ならない。 「無理です」と言ってみせるのは簡単だが、やれることはあるだろう。
それを差し置いて、あたかも対策ソフトを買うことで問題が解決するかのよう なことを言うのはエゲツない。かつての愉快犯によるバルク型ウイルスと違っ て、特定の少数ユーザだけを狙った金銭目的の攻撃が問題となっているのに、 それをソフトウェアで防げるわけがない*1。
もちろん、社会的に、スパイウェア対策ソフトは普及した方がよいに違いない。 だが、その限界を明らかにした上で販売しなくてはならない。被害者の立場か らすれば、たった一回の「新種」マルウェアにひっかかっただけで、何百万円 という損害が出るのであり、対策ソフトは「確率的」な防止でしかないことを 伝えなくてはならない。
2日の日記にひき続き、トラックバックが できない様子なので、こちらからリンクして差し上げる。
セキュリティベンダーやセキュリティ専門家は、一般大衆のセキュリティ意識を高めるために様々な啓蒙活動を行なっている。
しかし、それが原因で、一般ユーザーを 「教育」する意識ばかり肥大化し、相手を 「見下す」ことに繋がっていないだろうか?
一種の優越意識である。
本当にユーザーの立ち場に立つなら、もっと本質を重視するはずだ。あんな態度は取らないはずだ。
私が星澤裕二氏や高木浩光氏の姿勢を追及する過程で見たものは、まさにその部分なのだ。ユーザーを馬鹿にしてるとしか思えない姿勢や表現が大量にあるのだ。
だが、彼ら自身はその事実に気付いていないだろう。
一般ユーザーの視点を見失っているのだから・・・。
「大量にある」そうだが、具体的にどれのことを言っているのか示して書いて くれないだろうか。
根拠を示さずに風説だけを流布する行為は正当な批評にあたらない。論拠を示 さずに書くと名誉毀損ととられる危険性が高まってしまうので注意したい。
*1 パターンマッチングで防げる わけがないし、スパイウェアはキーロガーのようなデータ送信型だけではない ので、外向きのポートを塞いでも解決にならない。フィッシングも、ごく少数 をターゲットとして攻撃が行われている場合、表沙汰になることもない。
■極論かもしれないが...
TTFOXZさんの「http://takagi-hiromitsu.jp/diary/tb.rb/20051223]ユーザーを馬鹿にしてるとしか思えない姿勢や表現が大量にある」という言葉に、高木浩光さんが自宅の日記で