■山田祥平のRe:config.sys■
毎年恒例のセキュリティ対策ソフト新バージョン登場だが、年賀状ソフトと同様に、四季折々の季語のようなもので、その発表に、もう今年も終わりに近づいているのかと1年の短さを痛感する。今回は、このセキュリティ対策ソフトの存在意義について考えてみた。
●カネ目当ての脅威が猛威をふるう今年は、セキュリティ対策ソフト3製品の発表会に出席した。発表会では、各社ともに、打ち合わせたように強調していたのが、脅威の需要と供給をサポートするブラックマーケットの存在だ。9月17日に開催されたノートンの発表会には、ゲストとして、警視庁ハイテク犯罪対策総合センター情報班長の平川敏久氏が登壇し、日本におけるセキュリティトレンドについて言及した。平川氏によれば、かつて、ハイテク犯罪と呼ばれていた現在のサイバー犯罪は、かつての高度な知識をひけらかす愉快犯主流から、稚拙でありながらも狡猾な金銭目的の知能犯が主流となっているという。つまり、現在のネット犯罪者たちは、なんとかカネをどこから得ようとしているのに過ぎない。いってみれば、脅威は悪徳商法に近いものになりつつあるのだ。
ハッキングなどによって侵害された個人情報は、そのほとんどが、地下のブラックマーケットで売買されているという。また、マルウェアなどを開発したり、個人情報を専門に扱ったりするなど、分業化も進み、その気になれば、誰でも、加害者としてカネ儲けにチャレンジできる環境が整っているらしい。
今や、電子メールの90%がスパムメールとなり、インターネット上のトラフィックを占有している。そして、誰だって一目で迷惑メールだと判別できるような内容のメールにでも、必ず反応するユーザーがいて、そして、被害者となるのだ。
誤解を恐れずにいえば、スキルの高いユーザーが、トロイの木馬を踏む可能性は低い。でも、大多数のユーザーのスキルは低く、簡単に罠にひっかかってしまう。
4年前に、この連載で、「インターネット安全運動」について取り上げたことがあったが、当時の実行委員会委員長土居範久(中央大学理工学部教授)氏の「最終的には怪しさへの直感が重要」というコメントを紹介したことがあったが、その状況は今も変わっていない。4年前よりは、インターネットははるかに身近な存在になっているが、直感で回避できるリスクがほとんどである点は変わっていない。問題は、その直感をはぐくめる環境にユーザー自身が立ち位置を築けているかどうかだ。
●ついウッカリを回避する道路に落ちているケーキが、いくらおいしそうだからといって、誰も食べはしない。もし、それを食べておなかをこわしたとしても、悪いのはおまえだと言われるだろう。道路にケーキを落とした状態で放置している道路の持ち主の管理責任を問うような人もいるかもしれないが、大多数は、自分のあさましさを反省するだろう。
でも、石につまずいて転び、たまたま倒れたところにケーキが落ちていて、それが口に入って飲み込んでしまい、おなかをこわしてしまったらどうか。これはもう、泣きっ面に蜂、弱り目に祟り目であり、多少は同情の余地がある。
たとえば、怪しいサイトを開いてしまい、別のページに移動しようと慌ててマウスをつかんだとたん、つい、人差し指がピクリと動き、たまたまページ内にあった怪しいリンクをクリックしてしまったような場合と似ている。
人差し指でマウスの左ボタンを押して、ハッと思ったとき、スキルの高いユーザーは、人差し指をマウスのボタンからはなさない。押しっぱなしにしたまま、キーボードのEscキーを押すだろう。これで、クリックはなかったことになる。でも、スキルの低いユーザーは、人差し指をマウスのボタンから離し、クリックが成立してしまう。ウェブページに限らず、たまたま開いてしまった迷惑メール内のリンクでも同じだ。
セキュリティ対策ソフトは、スキルの高い低いに関係なく、すべてのユーザーを、さまざまな脅威から守る。ただ、多くのユーザーが、ルーターを介してブロードバンドに接続し、個々のPCがグローバルIPアドレスを割り当てられることが少ない今、ファイヤーウォール的なセキュリティ対策よりも、やはり、アンチウィルスやアンチフィッシングなセキュリティ対策が重要視されるようになり、セキュリティ対策ソフトは、ひとつの節目を迎えようとしているのではないかと思う。
●大人も子どもも初めてだらけ外出時に自宅に鍵をかけずにでかける人は決して多くはない。インターネットも同じだと例えられることがあるが、ちょっとニュアンスが違う。
鍵をかけることによって、自分が家の外にいても、中にいても、外部からの不正な侵入者を防ぐことができる。それは当たり前だ。ところが多くのインターネット利用は、必ず、自分が家の中にいて、自分の意志で外に出て行くようなものだし、インタラクティブなウェブの操作は、「これがほしい」と自分の意志を相手のコンピュータに伝える行為だ。コンピュータは、いわれるがままに、ほしいといわれたものを送りつけてくる。
これは、リアルな訪問者とインターフォンで会話をした結果、玄関のドアを開けてしまい、悪質なセールスにひっかかるようなものだ。自分でドアを開けてしまっては、鍵の存在意義はない。でも、最後の砦として、ドアチェーンがあれば、もう一度、本当にドアを開けてしまってもいいのかどうかを判断するチャンスはある。その判断さえできないユーザーのために、セキュリティ対策ソフトはあるし、スキルの高いユーザーにも、不用意に怪しいリンクをクリックしたとしても安全は確保されているという安心感を与え、冒険に誘う要素も持っているかもしれない。対策ソフトがなければ決してクリックしないリンク、決して実行しないexeファイルが目の前にあれば、セキュリティ対策ソフトがあるというだけで、好奇心を優先させてしまうだろう。
一方、今、各社のセキュリティ対策ソフトは、その軽さをアピールするが、稼働しているのとしていないのとでは、やはり、PCの使用感は異なる。サラサラがネトネトになるというイメージだろうか。それこそ、自分のPCをラップ越しに触るというイメージだ。本音をいえば、使わなくてもすむものなら、使わないですませたいところだ。
個人的には、スキャンの時間を短縮することよりも、時間がかかってもいいから、低いプライオリティで稼働して、ユーザーにその存在をできるだけ感じさせないような実装をしてほしいものだと思う。このあたりは、Vista以降、ロープライオリティI/Oなどの採用で、セキュリティ対策ソフトの優先度を下げるといったOS側からのアプローチもあり、セキュリティ対策ソフトに邪魔をされている感じがなくなりつつあるのはありがたい。
この世の中に犯罪が絶えないように、そして、世の中が善人ばかりではないように、インターネットの脅威がなくなることはないだろう。リアルな世の中は、処世術を親が子に伝え、教師が生徒に教えてきた。でも、インターネット社会はまだ若い。老若男女、そのほとんどが同時に初めて経験することが多すぎる。大人よりも子どもの方が直感で危険を回避する「老いては子に従え」的な現象も出てきているし、かつては、考えられなかったような脅威に子どもがさらされるようなこともある。つまり、何でもありの世界である。そこをどう生きるか。どんなに優れたセキュリティ対策ソフトも、その処世術は教えてくれないし、いわばリスクを回避するための集合知の活用の領域まで達していても、本当の意味での未知の脅威には無力なのだ。