セキュリティ専門家、ウェブコンポーネントの「モノカルチャー化」に警鐘

　セキュリティ専門家らは、最近明らかになった2つの欠陥を悪用する攻撃に警戒感を強めている。攻撃の対象となるソフトウェアは、広く利用されているものであるため、脅威は深刻だと専門家らは述べる。

　先週あるセキュリティ研究者が、インターネットからダウンロードされたJavaアプレットを稼働するSun Microsystems製ブラウザプラグインに存在する脆弱性の詳細を発表した。また先週は、まだパッチが提供されていないMicrosoft Internet Explorer（IE）の脆弱性を悪用したバナー広告攻撃が明らかになった。

　攻撃の対象となる技術は広く利用されているものであるため、多くのユーザーが被害を受ける可能性が高い。セキュリティ専門家はこの2つの大きな脆弱性に神経をとがらせている。1つの技術だけが広く利用される状況下（この状況は農業のモノカルチャーと似ている）では、その技術に存在するたった1つの欠陥が壊滅的な状況を招く可能性が高いと、セキュリティ専門家らは指摘する。

　「インターネット上の70〜80％が、同じソフトウェアやサービスで構成されていれば、たった1回の攻撃で途方もない被害を引き起こせる」とInternet Storm CenterのディレクターMarcus Sachsは述べている。セキュリティトレーニング会社SANS InstituteのInternet Storm Centerはネットワーク脅威を追跡する組織だ。

　セキュリティ専門家らは、病気により作物が壊滅的被害を受ける様子と、ウイルスなどがインターネットインフラを攻撃する方法に類似性があるとしている。これら2つの分野は明らかに異なるが、農業における法則の一部はハイテク技術にも当てはめられる。栽培する作物の種類を増やすよう生物学者が農業家にアドバイスするように、インターネットのソフトウェアコンポーネントの多様化、あるいは少なくともコンポーネント開発会社の間での競争を奨励することが、より強固なシステムにつながるとコンピュータ研究者らは考えている。

　SunのJavaプラグインの欠陥はこうした危険性に対して警鐘を鳴らしている。この脆弱性はフィンランドのセキュリティ研究者Jouko Pynnonenが4月に発見したもので、Sunは10月にパッチをリリースしている。しかしその詳細は23日（米国時間）まで公表されなかった。この欠陥を悪用すると、アプレット（小さなウェブプログラム）をユーザーのコンピュータで安全に稼働させるための保護機能を迂回できるようになる。

　この脆弱性は、複数段階のプロセスを通して感染する。攻撃者はまず、ウイルスをウェブサイトに忍び込ませる。細工を施されたウェブサイトにユーザーがアクセスすると、このウイルスはJavaの欠陥を利用してユーザーPCに感染する。

　Microsoft WindowsやLinux、Apple ComputerのMac OS Xなど、SunのJavaコンポーネントが稼働するオペレーティングシステム（OS）ならどれでもこのプラグインの脆弱性の影響を受けるため、多くのユーザーが被害を受ける可能性が高い。

　「この脆弱性が非常に深刻そうなのは一目でわかった」とセキュリティソフトウェアメーカーSymantecのインシデンス・レスポンス・チームでシニアマネージャーを務めるOliver Friedrichsは言う。「本物のクロスプラットフォームの危険性を持つ欠陥はこれまで目にしたことがなかった」（Friedrichs）