IT@RIETI

no.25: ウイルス騒動から何を学ぶか

楠 正憲
マイクロソフト アジア リミテッド政策企画本部技術戦略部長

7月に新しいWindowsの弱点(MS03-026)がみつかったとき、マイクロソフトでは当初からその深刻さに気づき、過去にない大規模な通知を行った。しかし残念なことに、8月中旬には深刻なBlasterウイルスによる被害が生じたことは、ご承知の通りである。9月にも同じくらい深刻な弱点(MS03-039)が新たに見つかっており、いつBlasterと同様のウィルスが登場してもおかしくないという、予断を許さない状況にある。

そこでBlasterウイルスからマイクロソフトは何を学び、どう行動しているかについて簡単にご紹介し、今後の情報セキュリティの課題と、政府の役割について考えたい。

マイクロソフトは2001年に相次いだウイルス大規模感染(Codered、Nimda)を契機に、セキュリティが他の何よりも、製品にとって重要であることを強く痛感した。MSNを含む非常に多くのコンピュータがウイルス感染し、一時は米国同時テロ事件と関連づけて、サイバーテロとしても取り沙汰された。

これを受けて2002年、マイクロソフトは「信頼できるコンピューティング」構想を発表し、これまでに総額200億ドルを超える投資を行った他、いまも年間50億ドルの研究開発予算の中で、セキュリティ関連技術の研究開発には重点的に配分している。

「信頼できるコンピューティング」を通じて、全ての開発者にセキュア・プログラミングのトレーニングを施し、製品の品質改善プロセスも継続的に改めている。当初は2002年の早い時期に発表予定だったWindows Server 2003は、1年近くも出荷を延期して徹底的なセキュリティの改善を行った。しかしながら残念なことに、Blasterの原因となった弱点を、Windows Server 2003の出荷前に発見することはできなかった。

弱点をなくすことは難しい

ソフトウェアの弱点は、実は古くて新しい問題である。1987年12月には汎用機のメールシステムの持つ弱点を利用して感染する「クリスマスツリー」ウイルスが、世界中のIBMのネットワークとBITNETをダウンさせた他、翌1988年11月には"sendmail"と"fingerd"の弱点を利用してSunやDECのワークステーションに感染するウイルス「インターネット・ワーム」がインターネットを止め、復旧に1週間を要している。ウイルスがインターネットを止めることは、歴史的にみても、過去に実際にあった事例なのである。(History of Worms: http://csrc.nist.gov/publications/nistir/threats/subsubsection3_3_2_1.html)

専門的には「バッファ・オーバーラン」と呼ばれるソフトウェアの弱点は、Windowsだけでなく、MacもUNIX, Linuxでも、広く頻繁にみつかっている、業界共通のものである。マイクロソフトでは、この弱点をソースコード上で自動検知するツールを作成し、製品の品質管理に役立てている。しかし、弱点が生じるパターンを全て網羅するには至っておらず、ツールによる検出も完全ではない。現在も新しい弱点がみつかるたびに、新たな弱点を正しく検知できるようツールを改善し、同様の弱点がソースコードの他の部分にないかを探しては繰り返し修正している。

このように、ソフトウェアの弱点をなくすことは短期的には困難と考えられるが、仮に弱点をなくしたところでウイルスを根絶できないことははっきりしている。トラヒックだけでみるとBlaster以上に蔓延しているSobig.Fウイルスは、Windowsの弱点ではなく、利用者が自分からウイルスを起動することを通じて感染する。少し知識があれば、メールについてきた添付ファイルを実行することには慎重になるはずだが、こうした原始的な手口で大規模感染するウイルスは後を絶たない。

ウイルス感染を防ぐことはできる

さきほどソフトウェアの弱点をなくすことは容易ではないと書いたが、それは必ずしもウイルス感染を防ぐことが難しいことを意味しない。現在のWindows XPでも、ファイアーウォール機能を有効にすればBlasterウイルスの侵入を防ぐことができる。OSの自動更新機能を使って最新の修正モジュールを迅速に適用していれば、そもそもウイルスに感染することはなかった。

弱点が存在する以上、未公開の弱点を突いたウイルスが大流行する可能性が皆無とはいえない。しかし、一般にはマイクロソフトが弱点と修正モジュールを公表後、この修正モジュールを解析して弱点を攻撃するコードが作成・公開され、こういった攻撃コードを参考にウィルスがつくられる場合が一般的である。従って修正モジュールの迅速な適用は、ウイルス対策として極めて効果的といえる。

諸外国と比べて日本でのOSのアップデート機能の利用が進まない理由はいくつか考えられる。ひとつは、市内電話料金が従量課金となっている日本において、少なからず残っているダイヤルアップ接続の利用者が、サービスパックを含む全ての修正モジュールをオンライン経由で更新することはコストの観点から現実的でない、ということである。

そこで日本では特別に、Windows XPユーザー向けに、これまでの全ての修正モジュールを収録したCD-ROMを配布することにした。一旦このCD-ROMで全ての修正モジュールを適用した後は、ダイヤルアップ接続であっても個別の修正モジュールをインターネット経由で簡単に導入できる。

このように、ファイアーウォールやウイルス検知ソフトなどの防御技術と、OSの自動更新機能を活用すれば、ウイルス感染をかなり防ぐことはできる。このことは、多くのシステム管理者や企業ユーザーには広く知られていた。

充分でなかった個人ユーザー向けの啓蒙

Codered, Nimdaのときは主にIISをはじめとしたサーバーの信頼性が問題となった。そのため、これまでのセキュリティに関する啓蒙活動は、システム管理者や企業ユーザーを中心に行っていた。しかし、ADSLによって個人ユーザーにも広帯域・常時接続は広く普及し、個人ユーザーが不正侵入やウイルスの被害に遇う可能性を大幅に高まった状況であるにもかかわらず、個人ユーザーに対しては、マスコミやホームページからの情報提供しか行っていなかった。

しかし、それでもマイクロソフトのセキュリティ・ページへのアクセスは爆発的に増え、我々は個人ユーザーにも充分に情報は伝わり、多くの利用者が対策を実施したと錯覚してしまった。実際には、それ以上に多くの個人ユーザーに情報が伝わっていなかったにも関わらず、である。現在ではBlasterウイルスの教訓を生かして、企業ユーザーだけでなく、個人ユーザーに対しても、Webだけでなく新聞、雑誌、テレビ、ラジオ、交通広告など、あらゆるメディアを通じてウイルス対策を呼びかけている。

当面は啓蒙が重要とはいえ、多くの個人ユーザーにとって、ファイアーウォールや修正モジュールの重要性について充分な知識がなければ、パソコンを安全に使うことができない、という状況が好ましいとはもちろん考えていない。

将来的には製品の改善や標準設定の変更を通じて、より簡単な操作で、安全にパソコンを使えるよう改善することを予定している。「信頼できるコンピューティング」では最終的に、水道や電気のような他の社会インフラと同じように、安心してコンピュータを利用できる環境の構築を目標としている。

業界共通の課題としての情報セキュリティ

マイクロソフトは製品の品質向上や適切な技術情報の提供に努めるだけでなく、業界との協調を通じて、ウイルスからユーザーを守るために全力を挙げて取り組んでいる。

例えばBlasterウイルスの再発防止ひとつ取っても、対策済PCの出荷にはパソコンメーカーの協力が、ダイヤルアップ接続ユーザーにセキュリティ対策CD-ROMを配るために販売店の協力が、緊急時のトラヒック抑制にはISPの協力が必要となる。ウイルスの駆除にはウイルス対策ソフトベンダの協力が、企業の情報システムを安全に保つには、システム構築事業者の協力が必要となる。

政府の役割や国際的な協調の重要性も忘れてはならない。米国では大統領府がサイバースペース上の安全保障へ向けた報告書"National Strategy to Secure Cyberspace"をとりまとめ、国土安全保障省の下で一元的にサイバーテロへの対策を行っている。筆者も参加している経済産業省の「情報セキュリティ総合戦略策定研究会」でも、安全なネット社会の実現へ向けた政策課題について、人材育成や重要インフラの保護、危機管理体制など、包括的な政策課題の洗い出しを行っている。

ウイルスの作者は世界中に散らばっているため、捜査・摘発に当たっては国際的な協調が前提となる。各国で産官学の協調を通じて包括的な情報セキュリティの実現を図るだけでなく、多国間で情報セキュリティに対するコンセンサスを形成し、実効的な施策を行う必要があろう。

いま起こっているウイルスの大規模感染は、技術革新やユーザーの啓蒙を通じて克服可能な、過渡期特有の問題であるが、ウイルスや不正侵入と防御技術とはいたちごっこの関係にあり、簡単に、安心してコンピュータを利用できる環境の実現へ向けた課題は山積している。Blasterウイルスを教訓に、情報セキュリティの実現へ向けた産官学、多国間の協力を推進するきっかけとしたい。

2003年9月17日

This work is licensed under a Creative Commons License.

2003年9月17日掲載

この著者の記事