大人の道具か、ガキのオモチャか?--セキュリティテストツールに賛否

　セキュリティ業界には、「エクスプロイト」と呼ばれる、セキュリティを迂回するための簡単に使えるスクリプトが、インターネットの脅威になっているとの通説がある。

　Metasploit Projectと同プロジェクトを始めたHD Mooreは、このような見方を変えたいと考えている。

　同プロジェクトは米国時間7日、最新となる設計フレームワークをリリースした。これは、Metasploitのツールを拡張したもので、セキュリティ専門家が管理するネットワーク上のコンピュータをチェックし、新たに公表された欠陥に対して無防備なマシンを見つけだすのに役立つものだ。今回登場した「Metasploit Framework 2.0」というフレームワークを使えば、同ツール用の標準プラグインを作成し、最新のセキュリティホールを利用して、合法的にコンピュータをハッキングできるようになる。このツールには既に、18種類のセキュリティホールと27種類のペイロード（ウイルスによる被害を引き起こす仕掛け）が登録されている。

　Mooreによると、このツールは管理者が無防備なシステムを見つけ出し、新しい欠陥にパッチを適用するのに役立つため、企業ネットワークへの不正侵入を防ぐことにもつながるという。

　「これは優れた調査ツールだ」 とMooreは述べ、Metasploitのベータテスターの約30％が、クライアントのネットワークに存在する欠陥の修正にあたるセキュリティコンサルタントである点を強調した。また他のベータテスターも、自社で開発するアプリケーションの欠陥を検知する目的で、同ツールを積極的に使っている。「（品質保証）テストにMetasploitのツールを採用している大手ソフトウェアベンダーもある」（Moore）

　ところが、このようなツールは脆弱なサーバを自動的に検知するため、技術的な知識をほとんど持たない人間でもコンピュータに侵入できてしまう。そのことから、セキュリティ研究者らは、このツールがネットに攻撃を仕掛けるアタッカーの味方にもなってしまうと主張している。

　市場調査会社のForresterが先日実施したソフトウェアセキュリティの脅威に関する調査では、「悪意のあるハッカーがスクリプトを開発したのを受けて攻撃が急増した」ことが明らかになった。多くの評論家もこれと同意見で、エクスプロイトをテストするこのようなスクリプトを使うと、数種類のコマンドを打つだけで技術的に高度な脆弱性を悪用できるようになり、その結果あまりにも多くの人間がオンラインで攻撃を仕掛けられるようになってしまうと話している。

　セキュリティコンサルティング会社のSpire Securityで調査ディレクターを務めるPeter Lindstromは、「このツールに興味を示しそうな学術機関や本格的な研究機関が10カ所あるとすれば、その一方でこれを使ってハッキングに精を出す子供の数は約1万人になるかもしれない。そして、両社の板挟みになるのは大企業のセキュリティ担当者だ」と語った。

　しかし、セキュリティやネットワークの運用について教えるThe SANS Instituteのトレーニング／認定ディレクター、Stephen Northcuttは、ネットワークに精通した管理者がMetasploitを使えば、悪意を持つハッカーと同じ土俵で戦えるようにもなる、と語っている。特に、同ツールはコードの開発に要する時間を大幅に節約してくれるという。

　「このツールの悪用を懸念するのは自然なことだ。しかし、アタッカーは既に手作業でエクスプロイトを開発しているので、これで実際に何か状況が変わるわけではない」（Northcutt）