ユーザーの安全を守る側は、いろいろな意味でハンデを背負っている。バグを修正するにしても、新しいソーシャルエンジニアリング攻撃に遭わないようユーザーを教育するにしても、防御する側は全員を守らなければならない。その反面、攻撃する側はほんのわずかな割合の人々を見つけてそれを餌食にすればいいのだ。
Thomlinson氏は、「私たちは広い範囲で(ユーザーを保護する)必要があるが、攻撃する側は広い範囲で行う必要がない」と述べる。
Microsoftの前のセキュリティチームリーダーで、現在Mozillaに勤務するWindow Snyder氏は、範囲の問題に対処する1つの方法は、防御側も同じように強化することだと述べる。例えば、約2万人がFirefoxの夜間ビルドをテストするとき、実際の現場で早く使えるように、コードやセキュリティパッチを見ることができる機能を用意することなどを紹介した。
Snyder氏は「フィックスをどれだけ速く入手できるか、またユーザーにとってフィックスの配備がどれだけ簡単かについては、改善の余地がある」と語る。Synder氏は一例として、アップデートをインストールする前のユーザーの状態を正確に保存するFirefoxの機能を指摘した。ユーザーは元の状態に戻すことができるため、迷うことなくアップデートをすぐにインストールする。そのため、システムを攻撃者たちの標的となる脆弱な状態に放置する時間を短縮することができる。
Microsoftやその他の会社も、特にマルウェア対策の分野でそれを行おうと模索中だ。Internet Explorerに備えつけたフィッシングフィルタや、Vistaに組み込まれたWindows Defenderスパイウェア対策プログラムは、どちらも数百万人のユーザーの現場体験に基づいている。
会長のBill Gates氏はCNET News.comのインタビューに対して、ソフトウェアセキュリティ問題に取り組むMicrosoftや他社にとっての次なる課題は、インターネットの基本設計に由来するものだと語った。インターネットは回復力と冗長性を確保することを主たる目的とした設計になっていて、セキュリティは二の次だ。ネットワークがオープンであることと、ルータは自分が誰だか嘘をつけないという前提があるため、セキュリティは別の階層として追加する必要がある。
Gates氏は「その昔、インターネットが主に大学や狭い範囲で使われていた頃は、善意を持った人がほとんどだったから、そんな問題が起こることはなかった。今はそれがビジネスの場であり、猫も杓子もそこに入ってくるから、その仮定は成り立たない」と述べる。
また、変化しているのは攻撃する側だけではなく、ビジネスもそうだ。
10年前、多くのセキュリティ攻撃は、ソフトウェアにセキュリティホールを空けて名をあげる方法を探していた腕の立つプログラマによって仕掛けられた。
MessageLabsのセキュリティアナリストであるPaul Wood氏は、シャドウエコノミー(影の経済)の構造が変わったと述べる。かつては一匹狼のハッカーたちが突破口を考案し、悪意のあるソフトウェアを開発して攻撃を仕掛けた。ところが今は分業だ。ある組織がゾンビコンピュータを連ねたボットネットを作って貸し出し、別の組織は悪意のあるソフトウェア作りに特化して、さらに別のグループがクレジットカード情報などの個人情報を集める。
セキュリティ脅威の周辺に登場したビジネスとして分かりやすい例がWabiSabiLabiだ。このグループはソフトウェアの脆弱性を扱うeBayスタイルのオークションを設立した。しくみが軌道に乗れば、ソフトウェアベンダーは新しく見つかった脆弱性を手に入れるためにハッカーよりも高い値をつける必要があるかもしれない。
リスクと経済的なチャンス
このような経済活動が急成長した理由のひとつとして、経済的なチャンスがとてつもなく大きい割には、捕まるリスクが低いためだ。とりわけ、警察組織は地理的な範囲内での取り締まりだが、インターネットではそんな境界は関係ない。
