国内のIT系メディアでもとりあげられているけど、フィナンシャルタイムズのこの記事は極めて疑問だ。Googleが、例の中国での攻撃を機に、Windowsの利用を減らしつつあるという記事。従業員の話として、新たにPCを調達する場合は、MacまたはLinuxが選択肢で、WIndowsを使うには、かなり上のレベルでの承認が必要になったと伝えている。
どちらかといえば、記事そのものの信ぴょう性も怪しいと思うのだけど、さすがに世界中で「それはないんじゃない?」という議論が沸騰しはじめているようだ。
そもそも、4月にも書いたのだけど、問題の攻撃は、いわゆる「標的型攻撃」だ。つまり、従業員が特定され、その従業員がピンポイントで狙われている。しかも、IMでのリンク送りつけという手法が使われた。
こうした攻撃で、Windosであるから脆弱、もしくは、MacやLinuxだから安全などということはありえない。むしろ、多くの攻撃にさらされて、日夜脆弱性の撲滅に奔走している(せざるをえない)Windowsのほうが相対的に安全という見方もある。MacやLinuxへの攻撃が少ないのは、それが安全だから、ということではなく、とりわけ愉快犯的な大量感染攻撃などにおいて、社会的なインパクトがWIndowsに比べて少ないからにほかならないからだと思う。むしろ、標的型攻撃の場合、発覚することはまれだと考えたほうがいい。プロにとっては、もしかしたら、脇の甘いように見えるMacなどのほうがターゲットにしやすいのかもしれないし、そうした攻撃は簡単には発覚しない。今、私が一番心配しているのは、最近人気のiPadだ。安全性について語るだけの情報を私は持ち合わせていないのだが、少なくとも攻撃者にとっても魅力的な標的になりつつあることは間違いないだろうと思う。利用者を特定して、なんらかの通信を行う、あるいは傍受できるなら、利用しているOSを特定することは可能だ。OSがわかってしまえば、その種類に限らず脆弱性を調べて攻撃することはできる。あの複雑怪奇なWindowsの脆弱性を見つけられるプロならば、MacやLinuxの新たな脆弱性を見つけることも難しくないのではないだろうか。
このようなことを考えるならば、今では一流のセキュリティチームを持つGoogleが、こんな判断をするとはにわかに信じがたい。真っ当なセキュリティ屋さんたちが、この話をストレートに信じるとは思わないのだが、一流のマスコミが流した記事だけに注意が必要かもしれないと思う。
いけない、もうこんな時間(AM 2:40PST)だ、寝なくちゃ・・・・
コメントする