情報セキュリティの最近の記事

恒例の若者育成キャンプが今日開幕。昨年までのセキュリティキャンプに、今年はプログラミングコースを加え、全国から二百数十名の応募のうち四十数名が選抜され参加している。年齢層も１４歳の中学生から２２歳の大学生まで様々。今日は開講式のあと、オリエンテーション、それから基礎講義。

セキュリティコースでは、情報セキュリティの基礎の講義に、グループディスカッションをまじえて進行。セキュリティの基礎、とはいえ、基本的にはレベルの高い参加者が多く、自分たちが指導するという視点から、その方法などをグループでディスカッション。初日から活発な討議となった。講師の質問に対して、出てくる答えもなかなかのもので、これから数日のキャンプでの成長が楽しみ。こういう若者たちが、どんどん育ってくれると、おじさんたちはうれしい限りだ。[E:happy01]

一方でちょっと気になることも。ディスカッションのテーマで、「ウイルス対策ソフトを使わない（というよりはウイルス対策ソフトがあてにできない場合の）ウイルスへの対策を考えろ」というのがあって、ある意味で、教科書通りの答えが出てきたものの、最近注目されている、いわゆる「標的型攻撃」やサイト改ざんとスクリプト埋め込みによる攻撃などについての話が生徒たちから出てこなかったこと。我々専門家の間では大きな課題になりつつある話だが、こうしたレベルの高い生徒たちでも、まだまだ知らないという事実は、啓発していく我々の側の課題なのだろう。

ともあれ、今週いっぱいの彼らの健闘を祈ろう。

さて、BH USの二日目。あいかわらず時差ぼけは改善しない。寝てはいるものの、どうも起き抜けがすっきりしない。お昼近くになると、だんだん集中力がなくなってくるのは困りもの。ただでさえ早口の英語はちょっと気を抜くと右から左に流れてしまうので・・。

今日のキーノートは NCSC (National Cyber Security Center）のディレクター Rod Beckstrom氏。歴史上の人物や出来事（独立戦争、南北戦争などとそれに関連した人物たち）などを、現代のITやサイバースペースとの対比で評したイントロから、ネットワークやセキュリティの経済学の話へ。C=S+L　（Cはトータルコスト、Sはセキュリティにかけるコスト、Lはセキュリティ問題で発生する損失）を最小化するのだ、という説明はわかりやすい。最初のいくつかの基本的な対策は被害（の可能性）を大きく減少させるが、次第に効果は相対的に小さくなってくる。ある程度以上は投資しても、それに見合う効果は得られないので、逆にトータルコストは上昇に転じる。イメージとしては理解しやすいのだが、実際にこれをあてはめるとなるとなかなか難しいのだが・・。ネットワークプロトコルでは、最も被害が大きいと思われるのが、グローバルなルーティングを左右するBGP、次にDNS、次はIP上に実装されたSMSだという。SMSは災害時などに威力を発揮する。データ量を抑えて多くの人たちが通信を行うには最適な方法だとのこと。（実際に９１１の時は電話が輻輳して使えなくなったものの、SMSは生きていた）　最後に、サイバースペースと現実社会の対比で、憲法や民主主義、ガバナンス、隔離機構、正義（の確立）、ネット外交などが、今後必要になるのだろうと締めくくった。さて、そうなるにはまだまだかかりそうだが・・・・。

今日は、仮想化関連のセッション、MS関連のセッションを聞いた。仮想化では、今回はXenが槍玉に挙げられている。オープンソースであるだけに（現在はCitrixの商用版も存在するが）これからもあれこれ出てきそうな感じ。ハイパーバイザ（もしくは Dom0）に感染するようなマルウエアと、いわばVM rootkitのようなものもいずれ出てきそうな感じがする。この領域では、まだまだいろいろありそうだ。（逆に言えば、守る側としていろんなものが必要になりそうだ）

MS関連では、MSVR(MicroSoft Vulnerability Research）のメンバーのセッションが、（参加者の反応や意地悪な質問なども含め）面白かった。個人的には、MSはそのコードのサイズに比べれば、非常によくやってるとは思うのだけどね。面白かったのは、Xp時代に、ブラウザへの攻撃は８０％がIEに対するものだったが、VISTAになってから、90%以上がIE以外のブラウザに対してのものになったという話。今後どうなっていくかはさておき、興味深い数字ではある。それから、脆弱性や攻撃への対応において、サードパーティーを含めたグローバルな協力体制を作るために、MAPP (Microsoft Active Protection Program）を立ち上げるという話。NDAのもとで、未パッチの脆弱性に関する詳細情報をサードパーティのセキュリティベンダなどに提供して対策を早期にリリースしようという試みとのこと。攻撃側の情報流通に対し、防御側もそれ以上に情報共有を進めよう・・・というコンセプトだ。それから、この１０月以降、脆弱性のアナウンスにおいて、現在の Critical, Important, Moderate, Lowに加え、 Exploitability Index という指標を加えるとのこと。これは、実際に攻撃コードが存在しているかどうか、それがどのくらい実用的なものであるか、といった状況を明らかにすることで、ユーザにパッチあての緊急度を判断してもらおうという試みだ。ちなみに、MSの脆弱性に対する攻撃コードの存在率は２００６年は２９％、２００７年は２１％だったとのこと。

もうひとつのMSのセッションは、標的型攻撃に使われるOffice文書のExploitの解説。Officeに存在する（した）脆弱性を攻撃するように加工された文書ファイルの構造やその確認方法、対策などについてのプレゼンテーション。これもなかなか興味深い内容。改ざんされた文書の検出など、いろいろと応用がききそうだ。

さて、とりあえずBlackHatも終わり。明日からDEFCON。夕方に Riviera まで３０分ほどかけて歩いて、レジストレーションに行ってきた。バッジをもらって、今夜はハック・・・と思っていたのだけど、バッジは品切れになってしまったよう。紙のバッジを渡され、明日の午後に交換するから、と言われてちょっとがっかり。ちなみに、今年のDEFCONバッジは、SDカードに入れたデータファイルを赤外線で送受信する機能付き。CDにソースコードが入っているので、あれこれハックできそうな感じだが、もし、バッファオーバフローなんかが仕込まれていたら・・・・こりゃ戦争が始まるかも・・・とちょっと戦々恐々。あとで寝る前にちょっとソースを見てみようかと。

さて、とりあえず今日はここまで・・・。

今日からブラックハット。朝から会場の廊下は押すな押すな盛況。年々参加者が増えている気がするのだが、一方で混雑もひどくなっている。特にセッションの間の部屋間に移動で大渋滞が発生。ただでさえ狭い通路にベンダブースを並べるのはそろそろ考え物かと。

さて、「コンピュータ技術は新たな官僚（お役所）主義を生み出す」なんていう皮肉っぽいキーノートから始まった一日目。例のDNSキャッシュポイズニングの話に注目が集まり、会場はあふれんばかりの盛況。時差ぼけがきつくて辛かったので、もしかしたら大事な部分を聞き落としたかもしれないのだけど、攻撃方法についてはあまり具体的な話はなく、結局のところ、これまで知られた攻撃方法の組み合わせで、かなり効率よくできるよ、ということらしい。主要なポイントは、クエリID（トランザクションID)の推測性（Birthday Attack）、発信元ポート番号の固定化もしくは推測性、外部からの問い合わせによる誘導といったあたり。今回のパッチは、このコンビネーションで使われるポート番号の推測性を大幅に下げることで、全体としての成功率を低く抑えようというもののようだ。（US-CERTの解説参照）実際、プレゼンの後半は、いかに多くのネットワーク、セキュリティの機能がDNSに依存していて、これが信用できなくなることで、いかに安全が損なわれるか、ということの説明に割かれていた。なるほど、と思ったのが、たとえ内部DNSであっても、外からクエリを間接的に誘発することは可能だということ。細かいことは書かないが多くのソフトウエア、機器がDNSに依存していることが理由だ。とりわけ外部からの通信を受ける機器のDNS参照先についてはちょっと注意が必要かもしれないなと思った。オープンクエリはもってのほかだが、そうでなくても技はある・・・ということか。

ちなみに、今回のDNSパッチの適用率はFortune 500企業で約７5%だそうだ。また約15%が適用したものの、NATのために効果が低下した状態にあり、約15%はまったく適用していないらしい。（計算が合わないのだが・・・メモが間違ってたかな・・）さて、日本の企業はいかに・・・。

そのほかには、フィッシングねたやボット系のねたをいくつか聞いた。ブラックハットのスピーカーは多くがかなり早口。毎年聞くのには苦労するのだけど、時差ぼけがきついと余計に辛い。午後は何度かスイッチが切れた。（苦笑）今日の昼間はやたら暑く、そのぶん中の冷房はやたら強いというきわめて体に悪い状態。一応、見越して長袖を着ていったのが正解。

夕方はレセプション。軽く飲み食いして、ちょっと疲れたので宿に帰った。でも、そのまま寝てしまいそうだったので、無理やり散歩。夕暮れの（といってももう８時）街を少し歩いてきた。

さて、そろそろ１２時になるので寝るとしよう・・・。明日は２日目。そろそろ時差ぼけも改善してほしいところだけど・・・。では、おやすみなさい。

ラスベガスにて、CSI-SXコンファレンスに参加中。昨年までのNetSecに比べると、すいぶん規模が縮小された感じ。１０ほどあった分野別のトラックはなくなり、各時間帯で５セッションと半分くらいの規模になってしまった。まぁ、１１月のCSI Annualとの棲み分けがいまいちだったから、これはこれでいいのかもしれない。会場はInteropと同じMandalay Bayなので、完全にInteropの付属物のようなイメージになっている。参加者は、同じくInteropから流れてくる人が増えたせいか、少し毛色がかわっているような印象。

初日のキーノートはWeb2.0にからめたセキュリティ問題のクローズアップ。２日目はSNSや仮想世界のようなものに慣れた社員の増加が企業に何をもたらすのか・・・といった切り口。いずれも最近の傾向を反映したものだ。印象深かったのは、キーノートやセッションを含め、こうした新しい切り口を、「使いこなしていく」前提での議論になっていることだ。ともすれば日本では「禁止」と簡単にいってしまう会社も多い中で、リスクをきちんと把握しながら、積極的に使っていく姿勢はすばらしいと思う。つまりは、利用者の啓発（何がリスクなのか、どう使うのか・・・といったこと）やモニタリングの労力を惜しまないセキュリティ管理側の姿勢があるのだろう。これは相当に手間もかかるし、気合いがいる話だ。言い換えれば、セキュリティ管理をする人たちが、「それが自分の仕事だ」と思っているからなのだと思う。ともすれば（ダメ、ダメ・・・という）お役所的発想に陥りがちな日本の管理者は見習うべきかもしれない。

さて、ラスベガスの様子やほかのセッションの様子は改めて・・・。CSI-SXは明日で終わり、Interopが開幕する。こちらの様子もまた書きましょう。

この前に書いた愚痴にも関連するのだけれど、技術屋としては誤った解釈や使われ方をしている言葉についても気にかかる。

「性悪説」という言葉の誤用（乱用）については何度も書いたけど、最近P2P（Peer to Peer [technology])という言葉の使われ方についても、かなり危惧すべき状況だ。

P2P技術の本来の意味は、いわゆる Client Server モデルのような、２つの役割にシステムを分けるのではなく、すべての参加者（コンピュータ）がその時々で利用者にもなり、サービス提供者にもなりうる、いわば究極の分散モデルを意味する。この技術の用途は広く、ネットワーク化されたコンピュータリソースを活用し、さらにサービスそのものの冗長度を大幅に向上できる「夢の技術」でもある。

しかし、最近、Winny 騒ぎなどに端を発して、（P2P技術を応用した）ファイル交換ソフトウエアをP2Pと総称する動きが出ている。これは明らかな誤用なのだが、名だたる大会社までもが、セキュリティポリシーにP2Pの利用禁止をうたうという深刻な状況になっている。

P2Pの技術はまだ未熟であり、その冗長性の高さの故に全体を統制する仕組みの実装が難しい面もある。Winnyなどは（敢えて）この課題を無視した結果として、（また、それに責任を持つべき作者の自由が奪われてしまった結果として）無法地帯と化してしまったのだが、今後の研究次第では、おもしろい応用がいくつも可能な技術だ。しかし、P2Pという言葉が「ファイル交換ソフト」の代名詞として誤用されることで、本来のP2P技術の発展そのものが阻害されてしまいはしないかと危惧している。

なんとか、この誤用に警鐘を鳴らして、本来の意味を取り戻せないものだろうか・・・と思っているが、それは一人（一組織）では難しい。この考え方に共感する人がいたならば、是非、ブログなどを通じて注意喚起をお願いしたいと思う次第だ。

本音を書けば、最近、セキュリティなんて仕事をやっているのがだんだん窮屈になってきた。特に、情報漏洩騒ぎに端を発した管理強化やことさらな内部統制強化が叫ばれはじめて以来、どんどん肩の荷が重くなっていく。それはそれでセキュリティという考え方がようやく市民権を得たのだと考えれば、喜ぶべきことなのだろうが、なんだかしっくりこない。その理由を考えてみると、世の中的に、セキュリティ＝管理強化・・・といった風潮が強くなっている結果、セキュリティ対策として自分が考える施策が、逆にどんどん技術者としての自分の自由度を狭めてしまっていることが大きい。セキュリティ屋の責任が重くなるのは、むしろ望むところだが、その責任と自分の向いている方向とのバランスをどのようにとっていくか・・・というあたりが目下、個人的な悩みどころだ。

見方を変えれば、この窮屈感は自分以外の多くの技術者や研究者にも共通した悩みであるのだろう。ある発想が浮かんだら、すぐさまそれを試してみたい、実証してみたい。そう思うのが技術屋だ。しかし、何かするのに、手順書やら承認やらめんどくさい決まりがいっぱいできてしまうと、それを考えただけで気持ちが萎えてしまう。ちょっとキリが悪くて仕事を持って帰りたい・・・と思っても、それは簡単ではない。もちろん、無意識にそうしたことをすることによって起きるリスクは十分わかっているし、それを避ける方法も知っているのに・・・である。

ある意味で過剰反応ともいえるこんな風潮が出るのは、つまりはリスクに対して個別の議論抜きで、ばっさり網をかけるような対策に終始していることが原因だと思う。つまりは、一番高いリスクを念頭に、かつ一番意識の低い人たちに合わせた対策を考えてしまっているからだ。一番バカな連中に合わせて物事を決めていたら、普通の、ましてそれ以上の技術者たちはみんな嫌気がさしてしまうにちがいない。結果として、日本はユニークな発想ができる技術者や研究者をみんな失ってしまいかねないなと危惧している。（日本は・・・・以前にまず自分の発想が萎えることが心配なのだが・・・）　　つまりは自分たちのためのはずのセキュリティが結果的に自分の首を絞めているということだ。

なんとか緩急をつけたセキュリティ対策を・・・・とあれこれ考えているが、まず最初の一歩であるリスク評価の（社会的に納得感が得られる）方法論が確立していない。とりあえず、自分の周囲だけでも・・・と説明可能な評価方法をあれこれ模索しているが、結果とした考えられた対策レベルで何か大きなインシデントが起きれば、その評価方法そのものの是非を問われかねないだけに、考えているとどんどん深みにはまっていく。まして、それを自分の組織の標準にしようと考えれば、様々な調整、説明、交渉ごとも発生する結果、どんどん自分の仕事が増えていく。しかし、だからといって諦めてしまえば、自分の仕事がどんどんつまらないものになっていく。どちらにころんでも自分の首を絞めてしまうのなら、前に進んでいくしかなさそうだ、というのが今のところの結論である。

はてさて、いつまで息が続くやら・・・・・

ワシントンＤ．Ｃ3日目は朝方ちょっと雨が降っていたものの、出かける頃には上がっていた。気温はちょっと低めで曇り空。道には水たまりが出来ていた。昨夜、うかつにも夕食後にＴＶを見ながら寝込んでしまったので、ちょっと時差ぼけ悪化気味。午後が辛そうな感じがしていた。

ＣＳＩ2日目のキーノートは、マイクロソフトのIdentity Management 担当アーキテクト、Kim Cameron氏。インターネットの標準的なID管理サービスを目指した Microsoft Passport の失敗（実際、MSでは標準になったものの、他にはまったく広がらなかった）の教訓を整理した上で、新しい、Information Card の考え方を紹介していた。認証技術は様々あるが、いずれも用途によって向き、不向きがある。一つ上に抽象化されたＩＤ管理フレームワークを作って、その下で複数の認証技術をサポートするという形で標準を目指そうというのだが、はたしてどこまで広がるのか・・・。用途に応じた、複数のカード（物理的なカードではなく、ＰＣ上の情報）を用途に応じて使い分け、その情報管理はサードパーティの認証プロバイダが行うようなモデルなのだが、ベンダがうまく乗ってくるかどうかは、コンシューマをどれだけ巻き込めるかにかかっているような気もする。

セッションは、SaaS関連、マルウエア解析関連、脅威と対抗技術の変遷、IPv6関連などを聞いたのだが、その中ではマルウエア解析のセッションが、実際のテスト環境へのボット感染からその通信解析やリバースエンジニアリングの過程をデモってくれたので面白かった。もちろん、最近のマルウエアはそうそう簡単にVMやデバッガの上では動いてくれないのだが、解析のコンセプトを説明するには十分な内容だったと思う。SaaS関連は某セキュリティASPベンダのCEOのセッションだったのだが、SaaS化のメリットばかりを強調する内容で、ちょっと？？？。理想はそうだが、そこまできちんとセキュリティを保った上でそれをユーザに対して明確なSLAとして保証できるSaaSプロバイダはどれくらい出てくるのだろうか、という点と、一旦、基幹システムをSaaS化したが最後、簡単には乗り換えが聞かない点が大きな危惧だ。スピーカーはそんなセキュリティ屋さんたちやＩＴ部門が持っている抵抗感が面白くないらしいのだが・・・・。特に日本の場合、「なんちゃってSaaSプロバイダ」と、それに重要なシステムをまかせてしまって泣きを見るユーザが出てきかねないだけに、こうした論調はすごく気になるところだ。SOA化が進んで、ユーザが開発するシステムの部品となるサービス（パーツ）が供給されるようになれば面白いのだろうけど、見てくれを変えずにサービスの乗り換えは出来ても、サービスが重要データと紐ついている以上、データ移行はそんなに簡単にできるとは思えない。SaaSは、企業ユースにはいろいろ課題が多いように思った。

３つめは、どちらかといえば、セキュリティの歴史みたいなセッション。初めてのウイルスはApple IIのものだった・・とか、最初のワームは Morris wormではなく、DECNETのVMS上のものだったとか・・・・、これはこれで駆け出しセキュリティ屋さん向け（のセッションなのだが）としては面白い内容だと思った。最後のv6関連は、来年の政府系v6化を前に具体的な内容を期待したのだけど、内容はこれまで何度も言われてきているような移行手順などについてのもので、ちょっとがっかり・・・。

というわけで、2日目も無事終わり、残るは明日のみ。午後には天気はすっかりよくなったのだけど、その分今夜は冷え込みが激しい。さて、今夜はあまり早く寝ないように少し引っ張ろう・・・。寝冷えにも気をつけなくては・・・。

CSI 2007 コンファレンスの初日が終わった。今回の会場はレーガン空港（ワシントンD.Cの国内線空港）近くの HYATT REGENCYホテル。会場的には、昨年のフロリダのリゾートホテルや一昨年のDCでのMarriott に比べるとちょっとこじんまりした感じがする。キーノート会場も狭い感じで柱が多く、場所によってステージが見通せないのをモニターを配置してカバーしている。参加者は増えているみたいで、入りきれない分は別室にモニターだけを置いてさばいていた。

Keynote は国防省のＤＣ３( Defense Cyber Crime Center：国防省サイバー犯罪センター）から、James Christy氏。DC3では、全米の捜査機関と連携して、デジタルフォレンジック技術を推進している。コンピュータを内蔵した電子機器が氾濫する中、犯罪捜査、対テロ、スパイ戦などにおいて、こうした電子機器から様々な捜査情報や証拠を洗い出す技術は必須となっている。機器の大容量化を背景に実際DC3が今年かかわった事案は758件で、解析したデータの総量は 171TBにのぼるそうだ。また、それらのうち405件が犯罪捜査にからむもの、61件がデータの復元、166件が対諜報活動や対テロ活動関連、46件が裁判の支援などという内訳も興味深い。カナダ、オーストラリアなどの捜査機関とも協力して啓発やセミナー、コンファレンスなどの教育活動も行っているようだが、アジア最大の「同盟国」であるはずの日本が含まれていないというのも、なかなか微妙だ。（苦笑）我が国の政府もなにがしかの動きはしているようだが、あまり表には見えてこないのが残念。ただ、米国でも一般捜査機関を含めて、327の科学捜査ラボが存在する中、デジタルフォレンジックラボの数は12にとどまっているとのことで、こちらもなかなか一気に各州の警察にまで普及・・・とはいかないようである。

セッションは、あちこちの分野にまたがって聞いたが、セキュリティ対策の効果をどう指標化、可視化していくかといったテーマや、最近のボット動向、無線ＬＡＮ関連、仮想化関連など、いずれも満席だった。ボット関連セッションで気になったのが、やはりP2Pボット。Storm/Peacomm Worm の話だが、以前日本のある記事で、P2Pはデータのダウンロードに使われているという内容を読んだことがあったので、質問してみた。答えは、ちがうとのこと。明らかにコマンドチャネルがP2P化されているのだそうだ。つまり、ボットネットのP2P化である。これ以外にもスピーカーのラボではいくつかP2Pボットの実例を掌握しているらしい。技術的に流れとはいえ、厄介な話である。アメーバのように潰しても潰しても生き残るボットネットはインターネット全体の大きな脅威だと思う。

仮想化におけるセキュリティ問題のセッションが出来たのも時流を追ってのこと。仮想化プラットホーム自体の脆弱性に加え、ゲスト側の設定などから生じる問題などについてもなかなか興味深い内容だった。

時差ぼけと戦いながらの聴講。午後のセッションは結構キツかった。夜のレセプションでは、日本の常連組（実際、日本で会うことよりもCSIやNetSecで会うことが多い人たちなのだが）と円卓を囲んであれこれお話しをした。ついつい日本人で固まってしまうのもどうかとは思うが、なかなか会えない人たちなのでいたしかたないだろう。

さて、これから2日目に突入・・・。様子はまた後ほど・・・

このまえ、こんなことを日記に書いたのだけど、昨日、たまたま知人のマルウエア研究者と話をした中で恐い話を聞いた。

最近のマルウエア、特に特定組織をターゲットにしたマルウエアの発見が非常に困難になっているというのだ。ネットワーク上の通信も巧みに偽装され、感染させるための手段も、専門家ですらうっかり踏んでしまいかねないほど巧妙なものになっているという。

彼いわく、以前は対策を講じる側のほうが技術レベルとしては高かったのだが、最近は攻撃側の技術が大幅に上がっていて、どうみてもプロ級の腕前と思われるものがどんどん増えているとのこと。知らぬ間にダークサイドの魔の手が裏庭にまで伸びてきていることに気づかないセキュリティ専門家も多いのではないだろうか・・・とちょっと背筋が寒くなった。

当然、こうしたマルウエアへの、いわゆる(Silver Bullet＝狼男や吸血鬼を一撃で倒す聖なる銀の弾丸）はない。ウイルス対策ソフトも気休めにすぎず、パッチを確実にあて、侵入防御システムを入れてもなお、感染リスクは残る。ましてや、直接的に自分（の組織）が標的にされてしまえば、おそらく、そのためだけに作られた攻撃用マルウエアの侵入を発見・阻止することは、相当困難なように思える。現在の技術ではあらゆる兆候に気を配って地道に監視を続けるしかなさそうである。あとは、ウイルス対策ソフトベンダやセキュリティ研究者、場合によっては国家レベルでの組織的な研究、対応態勢を整備して、有効な技術的対策を短時間で作り出していくしかないように思う。

こうした話は、まだ一般に使える有効な対策がないことから、聞く側に不安をあたえがちだ。最近のマルウエアに関する話を一般の人たちにする際に、常に出てくる質問は、じゃどうすればいいのか・・・、それじゃ救いがないじゃないか・・・というようなものだ。実際、これをやれば万全という対策がないのだからいたしかたないのだが、少なくとも、こうした攻撃のターゲットにされそうな国際的大企業では、ハイレベルの専門家を招いて対策を検討しておく必要があるのだろうと思う。そうした危機感がまだ希薄なことが、最大の危機なのかもしれないなと思った。

なにげにふと思ったこと。

これまで、マルウエア（コンピュータウイルスの類）感染のリスクは Windows プラットホームが他のプラットホームより圧倒的に高いと思ってきた。これは、現実に発見されるマルウエアのほとんどがWindowsプラットホームを狙った物であるし、マルウエア作者のモティベーションから言っても、感染対象が多い方がインパクトが大きく、成功（つまりは大アウトブレークを引き起こすこと）の快感も大きいだろうから、当然みんな Windowsを狙うだろう、ということが理由だ。

しかし、よく考えてみれば、この前提は最近崩れつつあるのではないかと気がついた。たとえば、最近のマルウエア攻撃は、大量感染よりも特定のターゲットを狙ったいわゆるスピア攻撃とか targeted attack と言われるようなものに変化しつつあると言われている。この攻撃の特徴は、大量感染を引き起こさず、特定の組織や個人を狙ってマルウエアを送りつけ、感染、潜伏させ、様々な不正を行うものだ。一般に発見しにくく、既存のウイルス対策ソフトウエアでも１０％～１５％程度は見逃すと言われている。もし、このようなもので、目的を果たした後、自己消滅するような物があったとしたら、それはほとんど発覚することがないだろう。つまりは、マルウエアの統計には現れないわけだ。つまり、発見されるものが氷山の一角でしかないということになれば、ここで、第一の前提が崩れる。

次に、マルウエアを作る目的の変化だ。ボットネットは最近、各国の犯罪組織がスパム業者への貸し出しを通じて資金源にしているとの報告もある。これに限らず、ある目的（多くは営利）をもってマルウエアを作る傾向が強まっていると言われている。一方、最近、愉快犯的な大量ばらまきはなりをひそめつつあるのも事実だ。となると、第二の前提も怪しくなる。

Windowsプラットホームはセキュリティが甘いとよく言われるが、本当にそうだろうか。最近、どこの組織でも、ウイルス対策ソフトの導入やセキュリティパッチの更新を義務化し、監視を強めている。現実的にこれ以上の対策は一般の組織としては困難なところまで管理は進んでいるのではないか。マイクロソフトもセキュリティの向上には多くの努力を払っている。（システムの複雑さ故、まだまだ後手に回っていることは否めないのだが）

一方、最近のオープンソース流行で、Linux サーバなどを導入する（もしくはSIerなどが提案する）ケースは増えつつある。インターネットに公開されているサーバはさておき、イントラネットのサーバとして使われているこれらのセキュリティ面での管理状況はどうなのだろう。これはとても気になるところだ。はたして、不要なサービスは止められているのだろうか。パスワード管理は大丈夫なのだろうか。セキュリティパッチはきちんと更新されているのだろうか、もしくは侵入防御の手段は講じているのだろうか。

こう考えると、今後、マルウエアが狙うのは必ずしもWindowsでなくてもいいように思われてくる。むしろ、今、脇が甘くなっているのは、Non windowsプラットホームだったりしないだろうか。

Macを除いて、Windows 以外向けのアンチウイルスソフトはまだ少ない。また、こうしたプラットホームに対する攻撃に対し本当に有効かどうかもわからない。たとえば、自分の個人環境としてLinuxとStar Officeで仕事をしている・・・というような奇特な方々を除いて、サーバのマルウエア対策は一般に言われる侵入対策の基本をおさえることにほかならないと思う。もう一度、自分の組織の non windowsサーバの管理状況を確認してみてはいかがだろうか。