インターポールも動く――「僕らの眠り」を妨げるものを駆逐せよ！：＠IT セキュリティセミナー 東京・福岡・大阪ロードショーリポート（2）（3/3 ページ）

“名前付き”の脆弱性がやってくる――そのとき、現場は？

インターネットイニシアティブ 根岸征史氏

　東京、大阪でのパネルディスカッションでは「僕らの眠りを妨げた（？）セキュリティ事件」と題し、＠ITの人気筆者陣が集結。ソフトバンク・テクノロジーの辻伸弘氏、インターネットイニシアティブの根岸征史氏、ラックの川口洋氏が、今回も丁々発止のやり取りを繰り広げた。

　最初に司会の宮田健が、「2014年、印象に残ったセキュリティ事件は？」と尋ねたところ、根岸氏は「DoS攻撃の大規模化。400Gbps超えという、一昔前には考えられないような大規模な攻撃が発生した他、ギガクラスの攻撃が日常的に、カジュアルに行われるようになった」と述べた。辻氏は「他の脆弱性に比べてあまり話題にはなっていないが、Active Directoryで権限昇格が可能になる脆弱性がある。これは本当にヤバい」と指摘。川口氏も「Active Directoryは、侵入されたところは必ずと言っていいほどやられていますね」と重ねた。

　2014年は、HeartbleedにShellshock、POODLE、GHOST……と、重大な脆弱性がただ公表されるだけでなく、名前やロゴマーク付きで公表されるケースが目立った一年でもあった。「事前に調整した上で情報が公開されること自体はいいこと」と根岸氏は評価するが、一方で、「名前が付いた脆弱性だから対処する、というのもちょっと違うと思う」と辻氏。また川口氏は、現実的な対応という観点で「テレビと新聞に載るかどうかで違ってくる。問題の本質はさておき、メディアに出てしまった結果、対応を迫られる人がたくさんいた」と述べた。

　またこうした情報は、どうしても第一報のみに注目が集まりがちだが、「例えばHeartbleedやShellshockは、いろんな人が研究した結果、当初言われていたよりも深刻な問題であることが分かった。出てきたときの情報だけを見ていても不十分で、ある程度のスパンで、危険かどうかを見ていく必要がある」（根岸氏）。辻氏も同意し、「メディアで騒がれている話題であっても、自分の目で一次ソースを確認してほしい」とした。

ラック 川口洋氏

　2015年3月13日に大阪で行われたパネルディスカッションの直前に、国内の複数のWebサイトが改ざんされるという事件が発生し、警察庁が注意喚起を行った。だが、そこで触れられている手口は一部に過ぎないと辻氏は指摘し「『WordPress本体は最新だから大丈夫』と思ってしまうことが心配。自分が確認できていないところで、プラグインなどが入っているケースはけっこうある」と述べた。「意図しないのに入っていることもありますよね」（根岸氏）、「PCへプリインストールされていることもある。意識せずに導入されていたプラグインが原因となってやられるケースは本当に多い」（川口氏）という。

　辻氏は、「ソフトを最新にするのも重要だが、それ以前に、自分が何を使っているかを把握していないと反応できない。常に反応できるよう用意しておくことが大切」と警鐘を鳴らした。

ソフトバンク・テクノロジー 辻伸弘氏

　話題はさらに、「対策しても評価されない、けれど問題を起こすと厳しい目にさらされる時代の対策はどうあるべきか」という悩ましいテーマに。一例として、日本航空が不正ログインの調査結果をまとめた報告書は「『こう追跡したらこうなっていた』というのがまとめられており、よかった」（川口氏）と評価できるとした。

　ただ「表に出せないこともある。ちゃんとやっているのに見せ方が下手なところもあり、そこはもったいないなあと思う」（根岸氏）。だからといって、「公開しなくてもいいよね、という空気になってしまうと、では法で規制すべしという話も出てくるが、それはよろしくないと思う。あくまで自浄作用に任せたい」（川口氏）と、すっきりした解決策はなかなか見出せないようだ。

　パネルディスカッションのまとめとして、根岸氏、川口氏は「情報を集めること、信頼できる専門家、相談相手を作っておくこと」の重要性を述べ、川口氏はpiyokango氏が運営するブログ「piyolog」を常にウォッチすることを来場者にアピールした。辻氏は「基礎的なことを粛々と、焦らずに対応すべき」と述べ、インシデント対応を行う企業に対しても「何か起きたら叩くのではなく、褒めることも重要」とまとめた。