脆弱性について

脆弱性（ぜいじゃくせい）という言葉があります。「弱点」という意味の言葉で、主にコンピュータやネットワークのセキュリティに関わる場面で使われます。何か今まで知られていなかった弱点があって、それが見つかったか、または対策されないままソフトウェアが世に出てしまったように思われがちで、逆に脆弱性の発見されてないソフトウェアは安心と思うかもしれません。が、これは大きな勘違いです。

例えていえば、中世ヨーロッパのお城は、城壁を張り巡らせて出入り口を一箇所にし、分厚い扉や跳ね橋、門番などで敵の侵入を防ぎますが、「脆弱性」というのは、そこに突然攻撃ヘリが飛んできてミサイルを打ち込んできた、というのに似ています。敵が進化して、中世から現代に、突然時代が変わってしまったという意味です。

また、攻撃者のやり口も変わってきています。例えば昔なら、人の見ていない時に鍵穴に針金を差し込むコソ泥のイメージでしたが、現代では、電子ロックに取り替えチェーンも取り付けた玄関に、何百人も押し寄せて次々体当たりをするゴロツキ集団のイメージです。蝶番が緩んできたら、ドアごとひっぺがそうというわけで、これではどんな対策をとっても、目をつけられたらアウトとしか言えません。

脆弱性に関連して、「ゼロディ攻撃」というものもあります。脆弱性が発見されると、その情報は直ちに公開されますが、その公開された手口を見て、まだ対策をとっていないサイトを狙うというものです。公開したせいで被害が発生するのですから、秘密にしておけばいいようなものですが、そうすると悪意のある者が先に発見し、密かに蔓延させてしまうかもしれないので、とにかく早く発表し、早くバージョンアップしてもらうしか手はありません。

こういう攻撃に対して最も効果的な対策は、「あきらめること」だと言われています。予防しようとか、修復しようとか考えずに、攻撃を受けたらシステムをインストールしなおし、バックアップからデータを入れ直す。ソフトのバージョンアップが通知されたらすぐ対応し、データはこまめにバックアップをとっておく。めんどう臭いですが、そういう基本的なことしか対策はないようです。「コロナウィルスは無くなることはないので、今後もマスクと三密回避、手洗いは続けよう」というのに似ています。