.

【第47回】

セキュリティホールと更衣室の穴

（03/11/17）

めも理と窓太 登場人物紹介

　窓の杜高校、超パソコン部の部室。

　あらあら、めも理ちゃん。今日は慌てて部室に入ってきました。

　一体、何があったのでしょう？

泥棒

ねえ、窓太。昨日大変なことがあったそうよ。

めも理ちゃんがお菓子でも落としたのですか？

違うわよ。学校の更衣室に泥棒が入ったのよ。

それは確かに大変なことですね。でも更衣室は、夜には鍵がかかっているんじゃないのですか？

それが、壁に穴が開いていたらしいのよ。普段はそこにポスターを貼ってごまかしていたそうなんだけど、その穴を見つけた泥棒が、そこから手を入れて、窓の鍵を開けて入ったそうなのよ。窓の鍵はきちんとかかっていたのに、まさか壁の穴から手を入れて開けるなんて、予想外よね。 　でも、更衣室に穴が開いているって、何だか信憑性がある話でしょう。

そうですね。なるほど、なるほど。予想外の方法で窓の鍵を開けて入るというお話は、ちょうど“セキュリティホール”が開いているようなものですね。

セキュリティホール？　何それ、そういえばネットで見たことがあるわ。その言葉。セキュリティホールって一体何なの？

それじゃあ、説明しますね。

---

セキュリティホール

めも理と窓太の4コマまんが 「セキュリティホール」

そもそもセキュリティという言葉が分からないんだけど、セキュリティって一体どういう意味なの？

めも理ちゃん。辞書を引く癖をつけた方がいいですよ。

もう仕方ないわね。えーと、警備、安全？　ホールは、穴という意味だから、警備上の穴という意味なの？

そういう意味です。 　セキュリティホールとは、アプリケーションに開いた保安上の抜け穴のことです。

抜け穴って、アプリケーションに抜け穴とかがあるの？　別に穴があっても困るようなことはないんじゃないの？

それが困ることがあるのです。普通のアプリケーションだと、不具合ということで済むかもしれない問題が、ネットワークを利用するアプリケーションだと大問題になることがあるのです。

ネットワークを利用するアプリケーションって「Internet Explorer」とか「Outlook Express」のこと？

そうです。こういったアプリケーションでは、Webページやメールを読み込んだ際に、予想外の動作をさせられる可能性があるのです。

予想外の動作をさせられる？　一体誰に？

Webページやメールにです。

へー、Webページやメールを使ってそんなことができるんだ。

できるのです。 　例えば、「Internet Explorer」では、特定のファイルのURLにリンクを結ぶだけで、パソコンを停止させてしまうような穴が発見されたこともあります。これは、OSがクラッシュすることもあったので、発見された当時は、けっこう話題になりました。

□窓の杜 - マイクロソフトが“concon問題”の対策を行うと発表 http://www.forest.impress.co.jp/article/2000/03/16/msconproblem.html □窓の杜 - 米Microsoft、“concon問題”の修正パッチをリリース http://www.forest.impress.co.jp/article/2000/03/17/conproblempatch.html

へー、OSがクラッシュするようなリンクを貼られていたら大変ね。

そうですね。 　他にも、任意のファイルを実行できたりという問題が発見されることもあります。

任意のファイル？

例えば、リンク先をクリックしたら、いきなりメモ帳が立ち上がったりとかですね。

わあ、面白いわね。

でもこれが、立ち上がるのがメモ帳でなくて、ハードディスクを全て削除するソフトだったらどうします。

それは怖いわね。

こういったことが行われると困るので、アプリケーションでは普通、このようなことができないように対策を施しています。こういった対策のことをセキュリティ対策と言ったりするのです。 　しかし、アプリケーションを開発していたときには予想しなかった方法で、アプリケーションを実行できたり、OSをクラッシュできてしまう方法が発見されることがあるのです。 　ちゃんと窓の鍵もかけたし大丈夫だと思っていたら、実は窓の横の壁に穴が開いていて、そこから手を入れて開けられるようなものです。 　こういった予想外の方法でセキュリティを突破して、アプリケーションを操作してしまう、思わぬ落とし穴のことを、セキュリティホール（保安上の抜け穴）と呼ぶのです。

今回の事件で、壁に予想外の穴が開いていて、それを利用されたようなものね。

そうです。 　普通の人は無視するような穴でも、泥棒がその穴を見つけたら、穴に手を入れて窓を開けてしまうといった悪用の仕方もできてしまいます。 　ネットワークを利用するアプリケーションは、他人が作成したファイルを読み込むことが多いです。そのために、泥棒のような悪意をもった人が作ったファイルを読み込む可能性も高いのです。

なるほど、そういう泥棒のような人が壁に開いた穴を知っていると、悪用することがあるというわけね。

そういうことです。 　ネットワークを利用するアプリケーションでは、開発のときに予期しなかった問題が、ときに大問題になることがあります。そのため、アプリケーションのセキュリティホールを修正するためのパッチを随時配布しています。ネットワークを利用するアプリケーションを使う場合は、こまめにセキュリティ情報をチェックすることをお奨めします。 　窓の杜でも、セキュリティ上の問題を解決するパッチが出た場合には、お知らせがあります。注意しておくとよいですよ。

分かったわ。

ほかにもバッファオーバーランと呼ばれる問題もあるのですが、これは次の機会にでも説明しますね。

---

更衣室

ねえ、窓太。更衣室の泥棒の件だけど、新情報が入ったわよ。

えっ、どんな情報なのですか？

なんと、侵入されたのは男子更衣室だったのよ！

えっ、女子更衣室かと思っていました。

私もよ。

それじゃあ、何が盗まれたのですか？

それが、何も盗まれていなかったのよ。 　真相は、財布を忘れた男子生徒が、夜中に学校に侵入し、更衣室の自分の財布を回収し、窓を閉め忘れて帰ってしまったそうなの。どうも、男子生徒の間では、更衣室の穴は有名だったらしいわよ。

なんだ、そうだったのですか。泥棒じゃなくてよかったですね。

---

今回出てきた用語の解説

【セキュリティホール】　アプリケーションやOSにある、保安上の抜け穴のこと。セキュリティホールが開いていると、他人から自分のコンピューターに対して、予想外の動作をさせられたりする。

（クロノス・クラウン：柳井 政和）