セキュリティキャンプが終わりました。今年も新たな出会いがあったり、頼もしく成長した卒業生に再会したり、何より濃い講師陣とどっぷり話できたり、疲れたけど楽しい一週間でした。

 さて、アメリカの話ですが、広告主がトロイの木馬を仕込んで個人情報を集めまくっていた、という事件があったようです。ある求人情報サイトに出した広告にトロイの木馬を仕込み、それを閲覧もしくはクリックすると感染して、ユーザーがWebブラウザーを使って入力した情報を盗み取ってしまうらしく、すでに4万6000人が実際に個人情報を盗まれた、と報じられています。
 この「アイディア」は、個人的にはものすごくインパクトがあります。広告主はサイト運営者にお金を払って広告コンテンツを組み込む(=「マッシュアップ」する)わけですが、それは相互にある種の信頼関係があることをベースにしているわけです。儲けよう=サイトビューを増やそうという、共通の目的があるので、まさか悪いこと=サイトビューを減らしてしまうようなことはしないだろうという理屈ですね。ところがその一方の関係者が今回とんでもない悪いことをやってしまった。

 こういう、言ってみればコロンブスの卵的な概念に接すると、思いこみや予断の怖さを改めて思い知らされます。すべての人が悪意を抱く可能性がある、ということをいつも前提にしていると、それはそれで疲れてしまいますが、少なくともビジネスにおいてはその考えを持つべきなのでしょう。
 今回のケースのような事例は、これはけっこう厄介なことになりそうです。悪意の広告を出されて困るのは、トロイの木馬の直接の被害者だけではないでしょう。運営側も対応に苦慮していそうです。犯罪者は覚悟の上で犯罪を犯しているわけですから、直接の被害者や運営側のクレームなど歯牙にも掛けないでしょうし、そうなると直接被害者の矛先は運営側に向くかもしれませんしね。さらに運営側は、「世間」という得体の知れない野次馬からも、「思慮が足りない」とか「なぜ予見できなかった」などと無茶に責められてしまうかもしれません。

 しかし、運営側には何ができるでしょうか?

 最終的に利用者の前に表示されるWebのイメージをチェックする必要があるわけですが、なかなかこれが大変です。というのも、以前のようにコンテンツに関係するデータがいったんどこかに集積されてアップロードされる、というような簡単な運営モデルではなくなってきているからです。広告主のデータは広告主のところにだけ存在したり、広告主がアクセス解析業者に依頼して、その業者のところに存在したりする場合もありますし、それでなくても最近マッシュアップなどと称して、Webページの一部区画を貸し出すようなことすらあります。そのような運用のもとでは、いつどこで誰がチェックするのか、そのあたりのハンドリングがとても難しそうです。
 逆に言えば、どこかでバッチリチェックするには、現場運用の手順を整理する必要がある、ということでしょう。セキュリティを危うくする事象は、手順などの混乱がもとで生まれてくることが多いですしね。このケースに対抗するには、まずそのあたりの整理が必要そうです。

 それだけで終わりではありません。というのも、今回のトロイの木馬は、その独自性に問題があるからです。記事によれば、なんでも独自に開発した「パッカー」と呼ばれる偽装工作用ソフトウエアを使っているので、ウイルス対策ソフトウエアで検出できない、という代物であるようです。最近のウイルス対策ソフトウエアは、Webページからダウンロードされてくるモノについても調べてくれる仕組みはあるようですが、そもそもウイルスと認定できない=データベースに無い&ヒューリスティック解析でもウイルスと判定できないのなら、ファイルが来たぞ、ということが掴めるだけです。それでは感染を防ぐことはできないでしょう。

 いやあ、考えれば考えるほど八方ふさがりというか、どうしようもないですね。いっそリアルの世界での信用に頼って、「怪しい会社」からの広告依頼は受けない、とでも対処するしか無いのかも知れません。あるいは、もっとざっくりと「ファイルをダウンロードさせるような広告はNG」と決めて、何らかのファイルをダウンロードさせてしまうような、そういうコンテンツは許可制にする、としたら良いかも知れないですね。ファイルをダウンロードさせる、という事象は、少なくともどこかで捕捉できるでしょうし。あ、言っておきますが、ファイルをダウンロードさせる行為そのものを捕捉したいのであって、ファイルの中身をチェックしたいのではありません。両者はチェックするタイミングなどから見れば似ていますけど、チェックの内容は大きく異なっています。ファイルの中身をチェックし始めると、どうみてもドツボにはまってしまいそうですし、それならばダウンロードという行為をチェックする方が良さそうです。

……しかし、ファイルのダウンロードをチェックするプログラムができたとして、本当に欲しいファイルを自らダウンロードする場合と、広告を見てダウンロードさせられてしまう場合とで、そのプログラムにとって何か違いがあるでしょうか? この解決策の最大の欠点はおそらくそこにあります。ファイルをダウンロードする、という行為としては、両者に違いを見つけることは難しいように思えます。しかし、「ダウンロード行為」に着目する、というのはとっかかりとしては捨て難いですね…。このテーマ、ここで無理矢理結論を出さずに、持ち越してもう少し考えてみようと思います。