「目には目を」は許されるか--新たなセキュリティ製品に議論沸騰

　Symbiotというテキサス州にあるセキュリティ企業は、ある企業防衛システムのリリースを計画している。このシステムはDDoS攻撃やハッカーによる攻撃に対して反撃を行うのが特徴だ。

　今月末に発表予定のこの製品に対し、セキュリティ専門家らは難色を示している。

　Symbiot社長のMike Erwinおよび同社チーフサイエンティストのPaco Nathanは、自社のウェブサイトに「情報戦争に関する交戦ルール」と呼ぶ一連の文言を掲げ、月末のリリースに向けた準備を進めている。同社によると、このようなルールは企業のセキュリティポリシーの一部とされるべきで、攻撃を受けた場合の自社の正確な反応を決定するのに役立つという。

　「いままで、セキュリティソリューションというと、完全に受動的なものしかなかった。企業ネットワークの周りに防御用の壁を立てるだけでは、適切な抑止力とはならない」とErwinは述べている。Erwinの主張は、攻撃的戦術は完全な防御策の一部であるべきだというものだ。

　Symbiotによると、同社の理論は「必要性と均衡」という軍事的なの原則に基づいたものだという。これは、攻撃への対応はその攻撃の激しさに比例すべきであるというものだ。同社によると、攻撃を受けた場合の対応には「上流のプロバイダをプロファイリングし、ブラックリストを作成する」ことから、DDoS攻撃「反撃」の開始まで、さまざまものがあるという。

　だが、セキュリティ専門家は、同社の戦略には問題があるとしている。

　Ovumの主席アナリスト、Graham Titteringtonは、「そのような反撃は自衛ではなく、攻撃と見なされるだろう。このような行為は、ハッキングを禁止する法律がある国では違法となる」と述べている。

　Titteringtonは、ハッキングやDDoS攻撃の多くはコンピュータを乗っ取って行われるため、攻撃を受けたシステムが本物のターゲットを見出すことは難しいと指摘。「ハイジャックしたサイトから仕掛けられる攻撃が多いため、こうしたサイトが--不注意な部分もわずかにあるものの--知らないうちに罪のない反撃のターゲットにされてしまう」（Titterington）

　一方Cable & Wirelessのインシデント対応ディレクター、Richard Starnesは、Symoitのような「能動的に防御する技術」には、法的・倫理的な問題が絡んでくるため、これを導入するつもりはないと言い切る。同氏はまた、「具体的に何かを攻撃することを意図して設計された」製品が営利目的で生産されてしまうと、それがどのようなものであってもいい気持ちはしないだろうと述べた。

　Sternesによると、こうした技術が間違ったターゲットに反撃を加えることは容易に起こりえるという。また、たとえターゲットが正しかったとしても、副次的な被害が生じる可能性もある。「田舎のおばあちゃんが使っているコンピュータが反撃のターゲットになり、そのなかに入っていた100年来のクッキーのレシピが失われ、しかもバックアップのコピーも残っていないという事態が起こるかもしれない」（Sternes）