エスカレートするワームの流行--企業に非はないのか？

　最近の悪質なコードの発生には、新しく興味深い傾向がある。

　感染方法や流行に至る過程は変わらない（ウイルス作者はいまだに、電子メールを送信するテクニックを利用している）。しかし、攻撃のターゲットは劇的に変化した。

　ここ数年、悪質なコードのターゲットはほとんどの場合、一般的なインターネット利用者だった。しかし、最近はターゲットが変わった。悪質なコードはいまや、ウイルス作者対企業--あるいはライバルグループ同士--の戦争において、最も好まれる武器となった。

　例えば、1月に発生したMyDoomワームを見てみよう。このワームはユーザーが添付ファイルをクリックすると起動される。しかし、このワームの中には、SCOグループを標的とするDDoS（サービス拒否）攻撃のコードが書かれていた。DDoS攻撃とは、数百から、ときには数千ものマシンを乗っ取り、それらのサーバを利用して標的のサーバにパケットを送りつけ、標的となったサーバをダウンさせる手法のことである。

　その後に発生したMydoomの亜種も同じパターンだった。これらの亜種は、MicrosoftやRecord Industry Association of Americaを標的として、同様のDDoS攻撃を仕掛けた。やはり、政治的な動機から特定のターゲットが狙われた。どの亜種の場合でも、感染企業は、気付かないうちに攻撃の手先として使われてしまった。すなわち、巻き添えを食ったのである。

　こうした話はMyDoomに限ったことではない。NetSkyとBagleそれぞれの亜種も、感染速度や従来にない動機から作成されたことで、最近、メディアの注目を集めた。これらの亜種はただの虚栄心から、互いにライバルのウイルス作者グループを意識していたことが指摘される。そしてまたもや、企業やインターネットユーザーは、巻き添えを食う結果となった。

　MyDoomやNetSky、Bagleについて、ほとんどの人は、すぐさま悪質なコードの作者やソフトウェア製作者を非難するだろう（それにも一理ある）。しかし一方で、企業側には、全く責任がないのだろうか？企業はあらゆる手を講じて、自らの組織を守り、また悪質なコードがパートナーや顧客、ひいてはインターネットコミュニティ全体に感染するのを防いでいるだろうか？

　ところで、悪質なコードといえば、セキュリティに関する紛れもない真実が2つある：

　1つ目は、現実社会と同じくサイバー社会にも犯罪者が存在し、その結果、悪質なコードも存在するということ。

　2つ目は、人間がプログラミングする限り、ソフトウェアには不備や脆弱性がつきものであるということだ。

　残念ながら、セキュリティに関する3つ目の真実を挙げるとすれば、それは、企業が広範囲に感染が拡大したウイルスに毎年何回か感染するということになる。これはなぜだろうか？前述のワームには、特段革新的な感染技術や新しい攻撃媒介は用いられていない。これらすべてのワームは、企業がいくつかの簡単で基本的な方策をとっていれば、防げたはずだ。しかもほとんどの場合、企業は自らのビジネスを妨げることなく、これらの方策をとることができる。

　結論としていえるのは、企業側にもいくぶん非があるということだ。ワーム作者が使う感染や流行のトリックは使い古されたものである。それにも関わらず、企業はワームの遮断に失敗し続けている。古いことわざも"Fool me once, shame on you. Fool me twice, shame on me（一度だけだまされるのは仕方がない。しかし、二度目以降だまされるのは本人の責任だ）" というだろう。

　企業が認識しなくてはならない、セキュリティに関する本当の3つ目の真実は、前もって周到な準備さえしていれば、情報セキュリティの戦場で、無意識のうちに敵の手先にならずに済むということだ。

　簡単な処置を組み合わせて実行すること--例えば、電子メールの添付ファイルをフィルタリングする、必要のないポートを閉じる、PCファイアウォールを利用して企業内のラップトップコンピュータを脅威から守るなど--は、セキュリティリスクを格段に減らすことにつながる。

　不審な電子メールの添付ファイルにひそむリスクを社員に教育することや、会社のセキュリティポリシーが曲げられないものであることを社員に伝えることで、社員はむやみにメールの添付ファイルをクリックしなくなるかもしれない。

　悪質なコードに対する主な防衛策として、パッチあてやウイルス定義ファイルのアップデートに頼る企業があまりに多い。しかし、残念ながら、これらは事後的な対応でしかなく、見知らぬ脅威から組織を守る上で、何の役にもたたない。

　例えば、2002年に流行したSQL Slammerに対して企業が実施した7つの対応策のうち、最も役立たなかったと評価されたのが、積極的にパッチをあてることだった。ほかの6つの対応策はすべて、事前対策型で包括的なものだった。さらに、その6つの対応策すべてが、（パッチをあてることと比較して）簡単に実施でき、コストもかからず、悪質なコードの攻撃に対して、より大きな効果を得られるものであった。

　企業は、自身が犯した罪に対する責任をとらなければならない。さらに企業は、セキュリティの対策にもっと積極的にならなければならない。敵が自由に使えるコマの数を減らすことで、われわれは悪質なコードの影響を大幅に減らすことができるのだ。