« 自分の書いた文章が本になる、ということ | トップページ | 「涼宮ハルヒの分裂」とグレッグ・イーガン »

2007.04.05

ゼロディアタックに注意しろと言われても、なにを注意すればいいのやら

「ゼロディ」という単語ですが、まわりの人に意外と通じないようなので。

ソフトウェアにセキュリティ上の脆弱性(セキュリティホール)が発見されたときに、問題の存在自体が広く公表される前にその脆弱性を悪用して行なわれる攻撃。

ゼロデイアタック(IT用語辞典 e-Words)

要するに、例えばWindowsのセキュリティホールなら、マイクロソフトから対応策が発表される前、もしくは発表されたその日のうちに、そのセキュリティホールを利用した攻撃が行われることです。

先日の「GDI の脆弱性により、リモートでコードが実行される (925902) (MS07-017)」の場合、マイクロソフトからパッチが提供された4月4日よりも前から攻撃コードの存在が噂されていましたし、さらに極めて緊急性が高くヤバゲな脆弱性であることもあいまって、これは典型的な「ゼロディ」と言えるでしょう。

このようなゼロディは、マイクロソフト製品に限らず、最近増えてきているようです。ほんのちょっと前までは、脆弱性の公開から実際に攻撃が行われるまでは、数ヶ月はあったような気がしたんですけどね。

「基本ソフトの開発企業やセキュリティーベンダーから修正プログラムやセキュリティー・パッチが提供される以前に、その脆弱性をついた攻撃を加える」というのが「ゼロデイ・アタック」なのです。ある調査によると、2001年頃には新たなセキュリティー上の脅威やリスクが発覚してから、悪意のあるクラッカーなどによってそのリスクが攻撃されるまでにかかる期間は「3カ月程度」だったとされています。ところが、その時間が現在では1週間程度、場合によっては「1週間以内に攻撃が実行される」こともあるとされています。脆弱性の発覚から攻撃までの「時間」が非常に短くなっているのです。

ゼロディ・アタック (AT&T ネットワーク・セキュリティー講座)


 
 
日立システムの「セキュリティかるた」では、こんなうまいことを言ってます。

【や】 厄介だ パッチがないよ ゼロディ攻撃
(日立システム セキュリティかるた)

……いやな時代になったものです。(「パッチ」というのは、脆弱性を修正するプログラムのことです)
 
 
ところで、ゼロディというのは、対応方法がまったく存在しない場合もあります。ですから「Windowsにゼロディアタックが確認された」と報道されたとしても、マイクロソフトが修正プログラムを提供してくれないと、消費者はどうしようもありません。今さらPCの利用を止めるわけにはいきませんから。これはある意味「あなたは末期ガンです。治療方法はありません」と宣告されるのと同じかもしれません。

もし「ゼロディアタックが存在する」という事実があるのなら、たとえメーカーにとって不利益になったり、多少世間を混乱させるとしても、広く報道されるべきです。

でも、それはそれとして、普段からなにかと「あなたパソコンのプロでしょう、なんとかして」と頼ってくる近所のPC初心者に対して、エンジニアの端くれとしては、どうアドバイスしてあげればいいのでしょう? 

「いまゼロディ攻撃がはやっているぞ。……といっても、君には対処のしようがないけどね」

などと、嫌みなことを言って嫌われるのはイヤだしなぁ。うーーん、悩ましい。
 

|

« 自分の書いた文章が本になる、ということ | トップページ | 「涼宮ハルヒの分裂」とグレッグ・イーガン »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/18696/14572286

この記事へのトラックバック一覧です: ゼロディアタックに注意しろと言われても、なにを注意すればいいのやら:

« 自分の書いた文章が本になる、ということ | トップページ | 「涼宮ハルヒの分裂」とグレッグ・イーガン »