ということは,「Windows Updateを当てろ」と館内放送することも確かに重要だが,むしろインシデント・レスポンス*を迅速に行う態勢を整えておくことの方が重要かつ現実的である,と言えるのではないだろうか。
* ここで言うインシデント・レスポンスとは,一般的なインシデント・レスポンスよりも少し狭い意味である。犯罪や事件というよりも,主にワーム発生などの業務停止を含む急激な脅威をインシデントとし,その対応をレスポンスと称している。いわば事後対策になるだろうか。
迅速なインシデント・レスポンスの第一歩は,いかにして検知するか,というところにある。検知できなければ,インシデントは起こっていないも同然である。どんなにワームがパケットを投げまくっていても,気がつかなければ,いや気づけなければ,普通のPCと変わりはない。そもそも,自宅でコンピュータを使っているときに,ワームに感染したかどうかに気がつくことなどできるのだろうか。
ワームは自己増殖のために周囲にパケットを投げまくる。ほんの数台も感染すると,パケット投げまくり状態が酷くなり,帯域を圧迫し,結果としてDoS攻撃と同じになってしまう。このため,表面的には「何か遅い」とか「通信できない」などの異変が起こる。あるいは,ウイルス対策ソフトのパターン更新が間に合えば,どこかの検知に引っかかる。または,IDSやファイアウォールなど,通信を監視している装置によって検知される。ワームが発生していることに気づくのは,このようなパターンが多いはずだ。
しかし,自宅にIDSはない。ファイアウォールもない。せいぜいありそうなのは,パーソナル・ファイアウォール入りのPCとか,ウイルス対策ソフトなどだろう。会社から持ち帰るPCには,普通パーソナル・ファイアウォールは入っていないし,ウイルス対策ソフトが入っていても,セキュリティ・ホールを突いて勝手に入り込むワームに対して,どこまで検知できるか疑問が残る。
そもそもディレクトリ・スキャンやファイル・スキャンをしなければ検知できないウイルス対策ソフトであれば,勝手に入り込むものを検知することは困難だし,最新のワームに対応した最新のパターン・ファイルがインストールされていなければ検知は不可能だ。となると,それこそブロードバンド・ルーターがDoS攻撃で“お亡くなりになる”などしなければ,異変に全く気づかないのではないだろうか。
もちろん,理想的には家庭でも異変に気がつくための仕組みを導入し,ワームが来ても検知できる・ブロックできるようにしておきたいのだが,正直家庭にまでそんなことを求めるのは無理ではないだろうか。事実,冒頭で紹介した調査結果の数字がそれを物語っている。
いくらCMでWindows Updateを呼びかけても,利益追求集団である企業でさえ100%にならないのに,趣味や道楽中心の家庭に100%を求めても無駄ではないだろうか。SUS(Software Update Services)がWindows Updateを代替できるが,SUSはいつパッチを当てるのか意のままにならない部分もあり,当たらないままのPCが家庭に戻って感染する可能性はゼロにはできない(手作業のWindows Updateに頼るよりはるかにマシではあるが)。
しかし,パッチ未適用PCが残り10%か1%に関係なく,それこそ1台でも残っている限り,感染力が強いワームの場合は決して安全とは言い切れないだろう。
|
園田 道夫 Michio Sonoda |
