キーロガー対策として、ネット銀行でも導入されたと紹介した「ソフトウェア・キーボード」、キーボードを使わないから安全かと思いきや、ソフトウェア・キーボードに対するキーロガーも出現したらしい（IT PRO 8/25）。

仕組みはこうだ。画面のキーボードをクリックするたびに画面キャプチャを記録してしまうのだ。なるほど、この方法ならまんまとパスワードを盗み出せる。

しかし、こうなってしまうと、もはや有効な対策法などないのではないか、と思ってしまう。ウイルス対策同様、スパイウェア対策もやはりいたちごっこなのである。

Windows 2000の脆弱性「MS05-039」を突いたワームが猛威を振るっている問題で、同じ脆弱性を突いているにも関わらず、ZotobやRbotなど数種類のワームが出回っているのはなぜか。ウイルスベンダの公開するウイルス情報においても、各ウイルスの発表に時差があるなどして混乱が見られたが、これはライバル関係にあるウイルス作者間の抗争！と関連があるという（CNET 8/18）。

我々はハッカーグループ間の争いに巻き込まれたということだが、それによって被害が拡大しているとすれば、彼らにとって本意かどうかはともかく、予想以上の成果とも言える。

ただし、今回のようなワームは従来のような愉快犯ではなく、情報漏洩など「利益」につながる脅威も内包している。流出した情報は裏ルートを通じて取り引きされるであろうから、そのハッカーグループが分裂しているということは、足を引っ張り合っている可能性もある。

以前、「パッチを適用するウイルス」が登場したこともあったが、仁義なき戦いは政治の世界だけではないようだ。さて、ライバルのワームを蹴落とす刺客が登場するか。

…実は、登場していたことが判明！対抗グループのワームを削除する機能を持っているものもあるらしい（ITmedia 8/18）。裏の世界は裏の世界でボット戦争が勃発してたのである。

ついでなので同報道からワームの種類を整理しておこう。
　Zotob系
　Rbot系
　Sdbot系
　Codbot系
　IRCBot系
　Bozori系
それぞれの亜種も絡んでその種類は多岐に渡る。

IRCBotとBozori対Zotobとそれ以外という抗争が起きているらしいが、パッチを当てれば一網打尽であることを強調しておきたい。

米国で流行しているという、Windows 2000のセキュリティホールを突くワームに関して、複数の情報を整理すると、「Zotob」「Rbot」「IRCBot」「Bozori」の4種類に分類されるようだ。既にそれぞれの亜種も数多く発見されており、被害は拡大している。

どれも感染すると次のような症状・危険性があるという。

・再起動を繰り返す
・ネットワークを通じて感染する
・バックドアを仕掛ける
・情報漏洩活動

国内でも感染報告がちらほら出てきた模様。

また、Mac OS Xでも多数のセキュリティホールが発見され、44件という異例の数のセキュリティアップデートが公開された（米国8/15）。深刻なものは少ないとのことだが、この夏、情報システム担当者はパッチ適用に奔走することになる。

マカフィーによると、危険度「高」のコンピューターウイルス「W32/IRCbot.worm!MS05-039」が発見されたという。Windowsの脆弱性を突いたボット型ワームとのことで、感染するとリブートを繰り返す。米国では大企業も感染しているらしい（毎日新聞 8/17）。一方、「W32/Zotob.worm!hosts」の方は危険度「低」としている。
※CNNやABC、ニューヨークタイムズ、ダイムラークライスラー、キャタピラーなどが被害に遭った模様

同報道によると、この脆弱性はマイクロソフトが9日に発表したもので、発表からウイルスの発生までが1週間というのは、従来の半分の期間だという。

また、シマンテックからも同様の緊急情報が発表され、同社では「W32.Zotob.E」および「W32.Esbot.A」という名称で、システムにバックドアを仕掛ける脅威として発表している。シマンテックではこの脅威の危険度を5段階中3と位置づけており、活発な活動を検知しているとのこと。ソースネクストでも、「Worm.Bozori.a」という名称で注意を呼びかけている。

ボットであることから、感染したPCはゾンビとして2次犯罪に利用される可能性もある。また、毎年夏場はウイルスが流行している気がするが、夏休みで対策が遅れがちな時期が狙われると被害の拡大が懸念される。

最近「フォレンジック」という用語をよく目にするようになってきた。英語ではForensic、「法の」という意味で、「コンピュータ・フォレンジックス」というセキュリティの分野が日本でも確立されてきている。これは、コンピュータにまつわるログの改竄やデータの持ち出し、破壊などの不正行為に対して、ツールを使ってコンピュータ内のデータを調査・分析し、不正アクセスや証拠隠滅の痕跡を追跡する手法で、警察をはじめ、民間でもこうした業務に携わっている人（アクセス探偵）もいる。

コンピュータ・フォレンジックスの手法は多岐に渡り、高度で根気のいる作業であると言われている。最終的には本来の意味である「法的な」対応までをも含む場合もあるようだ。コンピュータ・フォレンジックスの捜査では、まずデータの「物理的な」バックアップ、つまりハードディスクの中身を丸ごとバックアップすることから始まる。そして、タイムスタンプ調査や文字列探索などを駆使し、時には削除されたデータを含めた調査が行われるのである。

最近のインシデントが多発している状況を受けて、コンピュータ・フォレンジックスに対する需要も高まっているようだが、実際にはフォレンジック技術を身につけた人が足りない状況らしい。日本では、ネットエージェント社やUBIC社などがフォレンジックサービスを提供している。

フィッシングなんて、ちょっと注意深い人なら引っかかるわけがない――。私も最近まではそう思っていた。だが、フィッシングの進化形である「ファーミング」は、簡単に引っかかってしまう非常に危険なものなのである。

ファーミング（pharming）はfarming（農業）が語源だけに、畑を耕して種をまき、収穫する手法と言われている。一本釣り漁業のフィッシングとは対照的だが、その手法とはいかなるものなのか。

どんなサイトにもIPアドレスが存在し、ドメイン名が指定されるとDNSサーバーで名前解決がされる。そのDNSサーバーが管理する対応情報が、対照データベースだ。この情報はローカルのキャッシュにも一時保存されている（hostsファイル）。このファイルを書き換えられてしまえば、どんなに正しいURLを指定しても、偽サイトにしか飛ぶことが出来ない。偽サイトが巧妙に本物のサイトに似せてあれば、まず気がつくことはない。

DNSサーバーのキャッシュを直接ターゲットにする手法もある。これはDNSポイズニングと呼ばれており、偽の情報をDNSサーバーにわざとキャッシュさせる手法である。こうなるともはや発見するのはほとんど困難である。

そして、これらの手法はフィッシングよりもはるかに効率が良い。キャッシュが書き換えられてしまえば、釣り放題、釣られ放題なのである。

サーバー管理者の肩にかかる重荷は、ますます重くなっているということである。そして、企業のセキュリティコストは増大する一方。セキュリティ対策に要する負の経済効果は、膨れ上がる一方だ。

銀行のスパイウェア対策が進む中、ネット銀行のイーバンクで採用したのが、ワンタイムパスワードの仕組みを利用した「ワンタイムセキュリティボード」である。暗証番号の入力に暗号表を使い、「1→a」「2→j」のように暗証番号を英字に置き換えて入力する。暗号表は取引ごとに新しいものに変わる。

ワンタイムパスワード自体は、それほど真新しい技術ではない。みずほ銀行では、暗証番号の数字の入力順序を取引ごとに変える方式が利用されるらしいが、どちらも暗号の基本的な考え方ではある。簡単な暗号でも平文よりはだいぶ安全になる。

ただ、暗号には必ずそれを解く「鍵」が存在する。暗号の強さはその鍵の強度にかかっている。イーバンク方式の場合、英字→数字に簡単に復号できてしまえば、暗号の意味をなさないわけである。暗号の歴史を紐解いてみると、どんな暗号も必ず解読されてきた。暗号の寿命は決して長くはない。

ネットバンクでスパイウェアによる預金の不正引き出し事件が発生したため、銀行界では様々な対策を打ち出しているようだ。

その中でも「ソフトキーボード」は今後の主流になる可能性がある。ソフトキーボードはマウスでクリックするキーボードで、キー入力の履歴を盗まれる心配がない。ソニー銀行やみずほ銀行ではこのソフトキーボードを採用したという。

ただし、問題点もある。暗証番号の場合はソフトキーボードでも大して負担にはならないが、これがパスワードや住所の入力となると話は変わってくる。その場合はりそな銀行が採用している「IDなどを自動的に変換して偽りのIDを記憶する」ようなスパイウェアを欺く仕掛けを中心としたアプローチになるのだろう。

7月28日、三重県が運営する「e-デモ会議室」のサーバが不正アクセスされ、フィッシングやスパムメール送信用のプログラムが仕掛けられたほか、「e-デモ会議室」のネームサーバも乗っ取られ、フィッシング詐欺ページへの踏み台として利用されたという。

県が運営するサーバでさえ、ゾンビになりうるという実例である。他のインシデントもそうだが、ニュースになるのは実際に被害が発生したり、公式発表として明るみに出てきているものだけである。実際にはひっそりと活動しているボットが相当数あると考えられ、ごくごく身近に存在すると考えた方が良いかもしれない。