((注意)これはやや野次馬気分で書いた理論的な考察です。嘘やいいかげんなことは書いてないつもりですが、具体的な対策を考える上では参考になりません。この問題に関して情報を求めている方は、セキュリティホール memoなどの、他のサイトの情報を参考にしてください。)

社会的なリスクとしてクラッキングを考えると、キーになるのは「増殖性」です。

そもそもクラッキングして何ができるかと言うと、ひとつのサイトの中のデータを削除したり書きかえたりです。やられた方は青くなりますが、人力でひとつひとつやってる限りは「社会的リスク」とは言えません。「社会的リスク」なんて言う奴(私のことですが(^^;;)は、無慈悲というか気楽というか、無防備な企業がひとつやふたつひどい目にあってもあまり気にしない。ひたすら、世界中が大騒ぎするような事態はどういう場合に起こるかだけを考えます。

未知の脆弱性をついてリモートからルート権限をのっとるという最悪のケースであっても、そういう被害にあうサイトが増えてくれば、その被害額の増大につれて注目が集まってきます。注目が集まるということは、その対策や犯人探しにリソースがつぎこめるということです。被害にあったサイトは徹底的に調べられ、穴がどこにあいているかすぐわかります。開発者の総力を集めてパッチが作られ、そのアナウンスはテレビでもネットでも流れるでしょう。

重要なのは、犯人の巧妙さや凶悪さとそこに投入されるリソースが比例関係にあるということです。ドラゴンボールのように、より強い悪者が出てくると、悟空も進化してそれに対抗できるようになるわけです。

ワームが問題なのは、その釣り合い関係を壊す要素があるからです。それが「増殖性」です。ワームは作者をつかまえても止まりません。作者にそれほど悪気がなくても、技術的レベルが高くなくてもとんでもないものを作る可能性があります。手動のクラッキングは、クラッカーのレベルが管理者を上回らないと被害になりませんが、ワームはそうではありません。

ワームに対して対策するためには、常に犯人のレベルより高い管理者が必要だし、犯人の数より多くの専門家を用意しなくてはいけない。クラッカーよりたくさんのハッカーが必要になるわけです。それは、悪者だけが「増殖性」を利用できるからです。つまり、社会的リスクとしてのクラッキングを考える場合は、まず増殖性の有無で緊急性、重要性を判断する必要があるわけです。

情報漏洩が問題になるのも、「増殖性」があるからです。漏洩したデータは犯人ひとりが広めるわけではありません。犯人の意図が「増殖」して、たくさんの人がそれを自分のディスクに保存して、ほとぼりがさめた時にまた流す。その悪意がさらに「増殖」して、この繰り返しが止まらない。だから、取りかえしがつかなくて、そこが恐いんです。これは一種の文系クラッキングかもしれません。いや、文系ワームですね。

文系クラッキングというのが、実際にどんなものかは私も想像つかないのですが、兇悪なものはどこかに「増殖性」を含んでいると思います。この最高に恐いストーリーが、なんで広まるのかと言うと、ユーモアという増殖性があるからです。それがたださんから私に感染し、おそらくあなたにも感染するでしょう。このネタは、この脆弱性の告知に非常に有効かもしれません。これは善玉の文系ワームと呼ぶべきでしょう。

文系クラッキングも社会的リスクのレベルになるものは、基本的には文系ワームの形をとるでしょう。別に目新しいものではなくて、宗教やイデオロギーも文系ワームだと思います。

さて、文系でも理系でもなぜワームが増殖するかと言うと、同じOSがたくさん使われているからです。つまり、ワーム以前にOSが「増殖」しています。そして、ではWindows Updateが増殖しないかと言うと、つまり、完全自動的強制パッチ当てが不可能なのはなぜかと言うと、それぞれの環境は一様ではないからです。どんなに厳重にテストしても、絶対に問題の起きないパッチは作れない。テストする環境とユーザの環境が違うからです。

あるレベルでは単純コピーであってワームはそこを利用する。しかし、別のレベルには多様性があって、管理者はその為に個別の手作業や動作確認が必要になる。つまり、一様性と多様性が奇妙に混在しています。

みんながGPLのソフトを使っていたら、おそらくワームを作るのはもっと難しくなっていたことでしょう。なぜかと言うと、管理されない別バージョンがたくさん作られるからです。被害はゼロにはならないけど、脆弱性も一様でなくなり、それを利用するコードもいろいろ複雑な条件判定が必要になります。

あるいは逆に、昔の汎用機のように、全てのマシンで動作するソフトがアプリケーションも含めて管理されていたら、脆弱性があっても、一気に修正できます。中央から勝手にパッチをあてることだって、できなくはない。リスクはありますが、放置してワームの被害を受けるリスクよりは小さいリスクになるでしょう。

テレビで何かを流行させて洗脳するような文系ワームを考えても、人々の感性が似通っていたら、逆にワクチン系のワームを同じ手段で流すことで対策できるし、人々の感性が本当にバラバラだったら、広く感染するワームは作れません。感染には増殖性が使えるけど、解除には増殖性が使えないケースに大きな問題になります。

資本主義社会の人々の心の状況はまさにそういう状態にあるような気がします。Windowsにおける多様性と一様性の混在は単にそれを反映しているだけではないでしょうか。

結局、社会的リスクを考える上で、増殖性と多様性がこんがらがっていることが根本の問題であるような気がしてきました。「緑の資本論」で問題になっていたのは、そのことではないかと思います。中沢さんてすごい。