新春恒例?ということもあり、今年の情報セキュリティのトピックを占ってみる。 「予測」ではなく「占い」というのがミソなのだが、かなり主観的・楽観的な見 通しなので、ハズれても責任はとらない。
大規模なウイルス・ワームが発生する最後の年になる?
のっけから楽観的な見通しで恐縮だが、希望を込めて今年は「大規模なウイルス・ ワームが発生する最後の年になる」としたい。2001年のCodeRedなどに端を発し た大規模かつ急速なワーム・ウイルスの伝播が社会問題になって既に2年以上が 経過した。去年の今ごろもSlammerワームで大騒ぎしていたのは記憶に新しい。 ここ数年は年に二、三件は大規模なワーム・ウイルスの襲来に見舞われるのが年 中行事化している。
今年もほぼ間違いなく大規模なワーム・ウイルス事件が発生するだろう。しかし、 大規模かつ急速な伝播をもたらすワーム・ウイルスには共通点がある。それは、 ソフトウェア脆弱性をつくものだという点だ。ソフトウェアの脆弱性につ いては私の前回のコラムでも書いた通り、その発生を完全に回避す ることは難しいが、いくつもの対策が今まさに同時並行的に進行中だ。
うまくいけば、これらの対策が功を奏して今年後半くらいから、脆弱性の発生が 抑制され、あるいはその影響が軽減されてくる。さらに数年後にはOSやハードウ ェアレベルでのかなり抜本的な対策が登場する。そして脆弱性を利用するウイル スやワームは殆どが過去のものとなり、2004年はそんなワームが発生した最後の 年として記憶される。うまくいけば…
まったなしのスパムメール対策
日本では携帯電話の迷惑メールが大問題になったのは記憶に新しいが、世界的に 見れば普通のインターネットの迷惑メール、いわゆるスパムメールが大きな問題 だ。たとえば、国連機関のUNCTADが昨年公表した報告書によれば2003年初等 における全電子メールの25%がスパムで、2003年末には50%に達した可能性がある とされる(既に50%を超えたとの報告もある)。さらに、2003年の企業におけるス パムメールによる経済的な被害は205億ドル(約2兆2550億円)との試算がなされて いる。
もちろん政府も手をこまねいているわけではない。2003年の12月16日にはブッシ ュ米大統領は、いわゆるスパム規制法に 署名した。適切なラベルを付けずに迷惑メールを送信した場合、懲役刑にな る可能性もある。この法律は今年の1月1日から施行されるので、効果のほどはま だ見えていないが、日本の 迷惑メール防止法案(特定電子メールの送信の適正化等に関する法律)が、そ れほど有効でなかった事を考えるとあまり期待できないだろう。
スパムメール防止の技術的な対策は昔からあるが、決め手は少ない。最近はメー ラやメールサーバでスパムメールフィルタを使うのがはやっている(私も便利に 使っている)が、これも完全ではないし、最近は裏をかく手法もあるようだ。
根本的な問題は、電子メールにおける認証機構の欠如がある。要素技術は完全で はないものの幾つか提案されており、本格的な導入を待つばかりだ。今年はこの 部分に本格的にメスが入れられる最初の年になるかもしれない。最後の年でもな いが…
新しいセキュリティ問題
去るものがあれば、新しく登場するものもある。新しい仲間は、ユビキタスのセ キュリティだ。これだけでは何のことかさっぱりわからないので具体的に言うと、 IPv6のセキュリティとRFIDのセキュリティだ。
IPv6もRFIDもずいぶんとセキュリティ面を考慮した技術ではあるものの、新 しい技術が普及段階に入ると、新しいセキュリティの問題が必ず出てくる。 これらのテーマについて詳しく述べる紙面の余裕はないので別の機会に回すが、 情報セキュリティに終わりは無い。コストさえ考えなければ…
本文中のリンク・関連リンク:
- Take IT Easy 2003.10.07「あなたは安全なソフトウェアにいくら払えますか? 」
- UNCTAD E-Commerce and Development Report 2003
- Take IT Easy 2001.11.27「スパムメールに有効な対策は?」
- スパムの割合が50%を超えたとの報告は、例えば MessageLabs 社のプレスリリース
- 合衆国のスパム規制法 Controlling the Assault of Non-Solicited Pornography and Marketing Act
- 電子メールの認証については、例えばAUTH SMTP ( SMTP Service Extension for Authentication [RFC2554] )
- 電子メールの署名については、例えばS/MIMEなど