Mac の安全神話は完全にあらず

この記事のURLhttp://japan.internet.com/busnews/20070601/6.html

QuickTime に Java 関連のセキュリティホールが見つかり、11日後に対応が完了したが、このことは Mac OS X のセキュリティにとって何を意味しているのだろうか。Mac OS X は砂上の楼閣にすぎず、いつでも悪いやつらに破壊される運命にあるのだろうか。Mac ユーザーは勘違いをしていたのだろうか。それとも、これは実際のところは何でもなく、本当は深刻な問題などなかったのだろうか。

筆者が思うに、正解はこのいずれでもない。考えても見ていただきたい。Mac OS には常にセキュリティホールがあったし。今後も出てくるだろう。多数の Mac 族がどう望もうと、そう考えないのは文字通り現実の否定になる。

Windows Vista や XP にもセキュリティホールはある。Solaris にもセキュリティホールはある。あの懐かしの OS/400 にだってセキュリティホールはある。ここで話題にしているのは、本質的に、そして時には行動的に不完全なものによって設計された複雑なソフトウェアだ。（セキュリティホールではなく）間違いは常につきまとう。Mac OS X の設計者がいかに頭が良くても（筆者はその多くと面識があるが、彼らは例外なく驚くほどに頭が良い）、彼らもしょせんは人間だ。

また、地球上には彼ら以外にも頭の良い人間はいる。筆者の親友である Andy Ihnatko 氏はかつて、「私がいかに明敏もしくは邪悪でも、この世の中には私より明敏もしくは邪悪な人間が必ずいる」と（完全に賢人のような態度で）哲学的に語ったことがある。

脆弱性に関しては、今回のものはかなり本格的ではあったが、最悪の事態には至らなかった。Mac OS X のなかの重要なフレームワークや、Windows のかなり一般的な環境（QuickTime）に影響を与え、パッチが適用されるまで、ブラウザの Java を無効にするしか安全を完全に確保する方法はなかった。少なくともホームディレクトリには Web サイトがセキュリティホールを空けてしまう可能性があり、実例も報告されている。また、さらに悪い事態を引き起こす可能性もあった。

「深刻な問題ではない」と言い張ろうとした人（また、今もそう言い張っている人）には、「目を覚ませ」と言いたい。任意の Web ページが手元のマシンにセキュリティホールを空けてしまうようなものは、すべて悪いものだと断言する。

特に、このようなアタックベクトルは、ウイルス対策や大半のファイアウォールなどをメチャクチャにしてしまう。自分がコネクションを張って、自分がコードを「実行」したのだ。だれかが悪用を始めたら、当初は「たいしたことない」問題だった事実も被害者には慰めにならない。

しかし、この脆弱性が不意に Mac OS をハリケーンに襲われた紙の家よりも危なくするわけではない。信頼性の高い回避策（Java を無効にする）もあり、一部には被害も出ているが、パッチが用意できるまでインターネットがまったく使えなくなるわけではなかった。この脆弱性を悪用するには、Web サイト上でコードを実行させる必要があった。世の常として、これはインターネットではかなり難しい。しかも、発見からパッチの準備に11日しか時間がなかったことを考えればなおさらだ。

これは、別のマシン上にあるマルウェアが自分のシステムに忍び寄って感染し、まったく気付かないうちにそれをクラッシュさせるといった「Witty」レベルの問題ではなかった（非常に悪質なマルウェアだった Witty の詳細は こちら を参照）。この攻撃コードのある場所に行かなければ被害には遭わなかった。これは決して不吉な前兆とは言えない。

では、結局どういうことなのか。まず1つとして、これで Mac OS X の安全神話が崩れたことを願いたい。安全「神話」があったのではなく、安全「対策」が施されてきたのだ。

Mac OS X を支えるセキュリティ手法はワクワクするようなものでも新しいものでもない。これは、頭の切れる人々による長年の努力の積み重ねだ。また、Mac OS X が完全に安全なわけでもない。そうであったことはないし、そうであることもないだろう。

つまり、インターネットをブラウジングするときは、皆と同じように自分も予防策を講じる必要があるということだ。だが、それは常に必要なことだったはずだ。これは、Mac OS X がもうほかの OS より安全ではなくなったとか、まだ今も安全だといったことでもない。ほかの OS と同じように、これには長所も短所もある。

ICanSecWest の脆弱性から何か1つを学ぶのであれば、パッチの適用方法を以前よりも改善する決心をしたい。セキュリティ関連の Web サイトをもっと見るのも良いだろうし、 Nessus スキャナを設定して自分が利用するネットワークのセキュリティに対する姿勢をもっと知るのも良いだろう。

ネットワークトラフィックで何が起こっているのか積極的に知りたい場合は、Snort を検討したい。また、システム管理者ならばすでにこれを実行しているべきであろうが、今回のことが即座にそれを実行に移すきっかけになるはずだ。

Mac OS X は相変わらず安全だ。問題は、その意味を誤解している人々が引き起こしているだけである。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。