場所はおそらく米国のどこか、いや中国のどこかのほうが可能性が高いかもしれない。男が何の変哲もないビルから出てくる。目の前に広がる都会の風景に目を向けながら、タバコに火をつける。男はそのビルの中のオフィスで、コンピュータの画面に向かって8時間、1日中ある調査をしていた。
彼は自分の上司の名前も顔も知らない。わかっているのは、この調査によって報酬を得られること、それもかなり高額な報酬が得られるということだけだ。仕事は、「Microsoft Office」ソフトウェアに対して自動テストツールを実行して、「Word」、「Excel」、「PowerPoint」に、バッファオーバーフロー、ポインタエラー、負の整数などのバグがないかどうかを調べることだ。一見、正規のコンピュータセキュリティ調査員と変わらない。正規のセキュリティ専門家と違うのは、見つけたバグをMicrosoftに報告しない点だ。
見つけたバグは彼自身か彼の上司が産業スパイ活動に利用する。公開されていないバグを悪用してトロイの木馬を作成する、いわゆるゼロデイ攻撃を特定の企業に仕掛けるのだ。さらに、こうした輩は、Microsoftが最新のパッチを公開する毎月第2火曜日「Patch Tuesday(パッチ火曜日)」を待って攻撃してくる。彼らは、その翌日、皆が新しく公開されたパッチに気を取られているすきに、攻撃を開始する。この日を「Zero-day Wednesday(ゼロデイ水曜日)」と呼ぶことにしよう。
数年前、Microsoftは突如として少数のパッチを公開することがあった。その中には重要なものも、そうでないものも含まれていたが、問題があった。いや、あり過ぎた。
まず、Microsoftは、ユーザーにとって死活問題にもなる重大な脆弱性に関する情報を、すべての人に報告するのは難しいことに気づく。金曜日の午後3時に公開する場合などは、なおさらだ。それに、誰かが事の重大さに気づき、急いでパッチを当てたところ、土曜日の朝になってシステムの一部に不具合が生じた、などということになっても、だれも残業代など支払ってはくれない。
そこで、2年前から、ごく限られた例外的なケースを除き、Microsoftは毎月第2火曜日にパッチを公開している。こうして公開日を決めれば、システム管理者はそれに合わせてスケジュールを立てることができるし、個人ユーザーもパッチの公開を予測するようになる。まれに、1つか2つのパッチを再発行することはあったが。
しかし、ソフトウェアの脆弱性はスケジュールどおりには見つかってくれない。2006年5月、Microsoftが3つのアップデートを公開した翌日、誰にもまだ知られていない脆弱性(ゼロデイ脆弱性)をWordに発見した何者かが、トロイの木馬で攻撃を仕掛けた。Microsoftは「MS06-027」でこれに対応している。6月、Microsoftが21個の脆弱性に対処するパッチを公開した後に、Excelファイルに対するゼロデイ攻撃が仕掛けられた。これには「MS06-037」で対応した。
そして7月、18個の脆弱性に対するパッチが公開されると、何者かが、PowerPointファイルに対してゼロデイ攻撃を仕掛けた。これに対して、Microsoftは次の第2火曜日(8月8日)のパッチで対応すると述べている。しかし、この数日間で、このPowerPointの脆弱性を悪用した、少なくとも3つの異なるバックドア型トロイの木馬が見つかっている。8月8日までに、さらに別のトロイの木馬が見つかる可能性もありそうだ。
個人ユーザーも心配する必要があるのだろうか。今のところ、その心配はなさそうだ。PowerPointを利用したこれらのトロイの木馬は、毎年夏に発生すると思わるようになった大規模なウイルス攻撃と違って、インターネット全体に無差別に流されるものではないからだ。これらのトロイの木馬は、ターゲットとなる企業が実際に攻撃を受けて初めて気づくように、攻撃対象を特定の企業だけに絞っている。こうした輩は、Officeファイルが送受信される一般的な習慣を利用して、ワナをしかけたメールがオフィス間でやり取りされる正規のメールであるかのように見せかける。
こうした犯罪は、巧妙で組織化されていなければできない。ある者は、Googleでターゲット企業を検索し、その企業内の正式なメールグループを特定する。ハッカー犯罪者は、スピアフィッシングと呼ばれる手法を使って、例えば「第1四半期売上」などの件名で社内メールを偽造し、「販売内部資料」から「第1営業部」あてのメールとして送る。これだけ手が込んでいれば、メールを受信した側も、添付されているExcelファイルにワナが仕掛けられていることを必ずしも疑わないだろう(編集部注:スピアフィッシングは海に潜って魚を銛で突いて捕獲する漁法を語源とした攻撃手法で、フィッシングと同様の偽電子メールを送信して受信者から情報を引き出そうとする。ターゲットを組織、個人レベルで特定してその特性に応じた仕掛けを用意する点が不特定多数をねらったフィッシングとは異なる)。
一方、報告されていない脆弱性を探す輩もいる。見つかった脆弱性がすべて悪用できるとは限らないし、悪質なコードがすべて金になる種類の犯罪に役立つとも限らないからだ。さらには、トロイの木馬を作る者もいる。今回見つかったPowerPointの脆弱性を悪用したトロイの木馬に関しては、キーボードで打鍵されたキーやその他のデータを捕捉して、8800.orgドメイン内のアドレス(中国のWebホスティングサイト)に送っているところまでは判明している。が、そこから先は簡単にはわからないだろう。
では、メールの添付ファイルを開かないことしか対応策はないのだろうか。結局、こうした輩が勝ちを収めることになるのか。そうではない。ハッカー犯罪者たちはこうしたメールをターゲット企業だけに送りつけているため、Melissaウイルスが流行したときと違って、オフィス間でやり取りされるWord文書は一般に安全なはずだ。ウイルス対策ソフトウェアのベンダーには、世界中の顧客のデスクトップから報告が入るので、今回のような特定企業を狙った産業スパイ型トロイの木馬も検出される。そうしたウイルス対策ソフトウェアを最新版にアップデートしてさえいれば、新しいゼロデイ攻撃の脅威が発生しても、数時間か数日のうちに保護されるようになるはずだ。ただし、攻撃のターゲットとなった企業は、添付ファイルには十分注意して、Microsoftからこの最新のPowerPointの脆弱性に対するパッチが公開されるのを待つしかない。
著者紹介
Robert Vamosi
Robert VamosiはCNET Reviewsのシニアエディター。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス