「MSセキュリティのこの10年」シリーズでは、Microsoftのセキュリティ戦略が過去10年でどう変わってきたかをレポートする。本編はシリーズ第3回目(最終回)の記事である。
ワシントン州レドモンド--MicrosoftのセキュリティエンジニアRobert Hensing氏は、目の前に座っている同社の開発者数百名に向かって、個人のPCはPowerPointファイルを開いただけでルートキットに感染する可能性はあるかと質問を投げかける。
満員のカンファレンスセンターで手を挙げた開発者はわずかだった。隣の部屋では、MicrosoftのBlue Hatカンファレンスで講師として招待されたハッカーたちが講演の様子をテレビで見ていたが、テーブルにいた全員が手を挙げた。
Hensing氏はMicrosoftの開発者たちに「アプリケーションは危険なんだということを皆さんに分って貰いたい」と語った。
MicrosoftはWindowsのセキュリティ保護に巨額の資金を投じたが、専門家に言わせれば、ハッカーの標的はOSから別のものへと次第にシフトしつつある。OSを破壊できるルートキットなどの脅威は、今ではアプリケーションやウェブベースのプログラムでも転送できるようになった。ウェブに接続された新しい種類のモバイル機器が、新たな脅威となっている。
Hensing氏は2007年9月のBlue Hatセキュリティカンファレンスで、「OSの脆弱性は減少しつつあるが、アプリケーションの脆弱性が増加傾向にある」と語った。
Microsoftはその前にVistaとWindows XPの保護に成功したことで、ある意味では犠牲者ともいえる。最近のBlue Hatに参加したセキュリティ研究員であるHalvar Flake氏は、Microsoftが長年に渡ってセキュリティ対策に投じたコストは合計10億ドルを超え、その多くは特にVistaに向けられたと推定する。MicrosoftのセキュリティユニットのゼネラルマネージャであるGeorge Stathakopoulos氏は、Microsoftがいくら費やしたかについてコメントしなかったが、「相当な数字」だと語った。
セキュリティ会社ZynamicsでCEOを務めるFlake氏は、その支出はすべて役に立つものだったと述べ、「Vistaは私が見た主流のOSの中でも、最も侵入するのが難しい」と語った。ハッキングが難しい分、犯罪者が標的にするのにもコストがかかる。
矛盾するようだが、Vistaのセキュリティが改善されたことが新しいOSに早く乗り換えるよう顧客を促しているかは定かではない。Flake氏は「セキュリティは売りにつながりにくい。顧客は実際に測定できないのだから」と述べる。
Vistaのセキュリティは、ハッカーを苦しめているようだ。Flake氏は「Vistaは大失敗作であって欲しい」と意地悪な一面も見せ、これほどの大金と労力をOSのセキュリティにつぎ込む会社など後にも先にも存在しないだろうと語った。
Vistaの新しいセキュリティの有効性の真価が測られるのは、何年も先のことになるだろう。往々にしてMicrosoftなどのベンダーは、最新のリリースは前のバージョンよりも脆弱性が少ないと胸を張る。それは一般的には事実だが、全体像のほんの一部を言っているに過ぎない。主要なOSベンダーの大半で、OSの脆弱性の合計数が2004年以降増加していることが分っている。OSはリリース時点では脆弱性が少ないが、その後5年から7年は使用される。
その結果、OSの製造元は製品寿命の中盤から終わりにかけて、つまりOSが最も広く普及しているときに、ソフトウェアが受けると予想されるタイプの攻撃に耐えうるような製品設計を試行する。
Microsoftのセキュリティ開発作業を率いるMatt Thomlinson氏は、「私たちは今現在の問題に立ち向かっている。これは絶対にしなければならないことだが、一歩先を見ることも必要だ」と述べる。
その一方で、攻撃自体もますます的を絞ったものになっている。大量メール配信から広範囲のフィッシング詐欺に移り変わり、最近では個人を狙った攻撃になっている。専門家によるとこの傾向はしばらく続き、悪意を持ったソフトウェアは検出しにくいものになるとのことだ。
ますます複雑になるマルウェア
Cisco Systemsの子会社であるIronPort Systemsが2007年12月初旬に発表したレポートによると、2007年がターニングポイントだそうだ。IronPort Systemsのマーケティング担当のバイスプレジデントであるTom Gillis氏は、「マルウェアを制御するためのセキュリティは一時的には効果があったが、マルウェアの作成が停滞期に入った丁度その時期に、新しい攻撃テクニックが突然現れた。その一部は非常に複雑で、明らかに素人の仕事ではなく、高度な研究開発によって設計されたものだ」と述べる。
現代の悪意のあるソフトウェアは、今日のソーシャルネットワーキングのサイトの特性を借りたものだとIronPort Systemsは指摘する。つまり協力的で適応能力が高い。また、人に気づかれることもなく「企業または家庭のコンピュータに数カ月ないし数年も検出されずに生き延びる」と指摘する。
IronPort Systemsの見解では、トロイの木馬と悪意のあるソフトウェアは「一層短期間で的を絞ったもの」になりつつあり、発見が更に困難になっている。
その傾向にプラスして、ソフトウェアアプリケーションを狙った新しい攻撃が増加中だ。主流といえるOSは一握りほどしかないが、アプリケーションとなると文字通り数千種類もあり、中には数百万人のユーザーに使用されるものもある。
Microsoftは自社のアプリケーションをセキュリティ保護するのに莫大な時間と費用を投入した。例えば、Slammerの攻撃を経験した後、同社のSQL Serverデータベースは、いかにセキュアな開発を行うかにあたっての社内モデルとなった。Blue Hatにも参加してMicrosoftへのセキュリティコンサルティングに多くの時間を割いたセキュリティ研究者のDan Kaminsky氏は、SQL Serverは開発の慣行を改善したことでOracleに大きく水をあけたと語る。
Officeチームも、Officeの文書が攻撃の手段として何度も標的にされるという事実に注目している。OfficeのXMLファイル形式が一新されたが、Microsoftによると、実はセキュリティを高めるために最初から設計し直したというのがその理由のひとつなのだが、そのことはあまり話題にされない。