ワームの発生は止められない
タレコミ by k3c
k3c 曰く、
ZDNNに、先日のApacheの脆弱性を突いたワームが登場したのは誰が悪いのか?という記事が出ている。なんでも、この脆弱性を最初に公表したISSという企業が、Apacheに通報してから情報(と不十分なパッチ)を公開するまで2時間しか猶予を与えなかったため、パッチが出てからワームの発生までの期間が短く、一歩間違えば被害は深刻だった可能性がある、のだとか。この記事は事態の経緯を分かりやすくまとめており、その意味では一読の価値はあると思う。…なお、肝心の「誰が悪いのか?」という点については、やはりISSはちょっとせっかちすぎた、という結論になっている。
しかしワタシは言いたい。その結論は間違っている。事態の関係者の中に、ISSよりも問題のある振る舞いをしているヒトがいる。それは、ApacheからAdvisoryが出て、脆弱性をFixした新バージョンが出て、さらにワームが発生しても、実際の被害が発生するまでパッチあるいはバージョンアップで対応せず、脆弱なApacheサーバを放置している管理者だ。あるいはApacheを組み込んだ製品を売っておきながらそれを修正せずに放置して顧客への通達を怠るベンダーだ。
この世に悪意がある限り、既存の脆弱性に対する攻撃が発生しないとは誰にも保証できない。むしろ、遅かれ早かれ必ず発生すると考えた方がいい。ワームの発生は止められないのだ。CodeRedのように強力なワームが発生したら、世の中の脆弱なApacheサーバに片っ端から伝染していく、などという恐ろしいことだって起こらないとは限らない。…これは何もApacheに限ったことではない。コンピューターをインターネットに繋いで使っている限り、ほとんど誰でも被害者に、さらには加害者にだってなりうる。被害が発生してからでは遅いのだ。ワームの発生は止められないが、努力次第で被害は最小限に食い止めることができる。努力を怠ってはならないと思う。…なお、一番悪いのはワームの作者であることは言うまでもなかろう。