WindowsとLinuxのセキュリティ比較: 不公平なレポート

Forrester Researchは、去る3月、LinuxがWindowsよりセキュリティに優れていたのは過去の話だと結論づける信じがたいレポートを公表している。また、先月も、デンマークのセキュリティ企業Secuniaがオペレーティングシステムのセキュリティを比較し、Windowsは多くの人々が考えているよりセキュリティがしっかりしているとの結論を出している。どちらの研究も、ちょっとしたリサーチと常識さえあれば簡単に反駁できるものだが、サードパーティによるオペレーティングシステムのセキュリティに関する評価には、依然として見るべきものがない。

Forrester Researchは、弱点が発見されてからパッチがリリースされるまでの時間を計測している。ご苦労なことだが、その数字自体にほとんど意味はない。WindowsとLinuxの弱点の深刻度を多少なりとも専門的に分析および比較してみれば、問題のレポートは報道するに値しないものであることがわかる。レポートの詳細は有料(900ドル)で閲覧できるが、編集部門スタッフからは、無駄な支出だとして閲覧を支持されなかった。

近頃、セキュリティ警告の総数がWindowsより多いことを理由にLinuxの方がセキュリティが弱い、とする軽率な記事を目にする機会が何度かあった。が、これらの記事にしても、報告された弱点がどれだけ深刻なものか、Linuxの弱点とされるものが実際にアプリケーションの弱点なのか、LinuxとWindowsの両方で機能するプログラミング環境(Apache WebサーバやPHPプログラミング言語など)の弱点なのかといった、意味のあるデータには一切触れていない。

誤解を招くデータに基づくうわさ話も後を絶たない。最新のうわさ話は、デンマークのセキュリティ企業Secuniaが流布したデータが基になっている。レポートのタイトルには、Mac OS Xが前面に押し出されていて、LinuxやWindowsという文字は見られないが、伝え聞くところによると、Secuniaは、Mac OS X とLinuxがWindowsよりセキュリティが強いという神話を暴こうとしているようだ。

Secuniaのデータ(少なくとも一般に公表されたデータ)には、致命的な誤りがある。その誤りは、Red Hat Enterprise AS3とWindows 2003 Enterprise Editionを比べてみれば明らかになる。

Secuniaは、Red Hat Enterprise AS3に関するセキュリティ勧告のグラフを公表している。このグラフによれば、脆弱性の66%はリモートユーザが悪用できるもの(つまり、コンピュータをインターネットに接続していれば、面識の有無を問わず多数のユーザの目にさらされる可能性があるもの)だということだ。また、別のグラフによれば、脆弱性の17%は、クラッカーが当該システムにおける権限を不正に昇格できるもの(つまり、管理者権限を取得して重大な被害を無制限に与えることができるもの)だという。

では、Windows 2003 Enterprise Editionに関するSecuniaのページを見てみよう。ここにも同様のグラフが掲載されている。それによると、Windows 2003の脆弱性のうち、リモートユーザに悪用される危険性があるものはわずか48%となっている(Red Hatのそれは66%だ)。また、クラッカーに管理者権限を取得される危険性があるものは13%(Red Hatは17%)に過ぎない。

一見すると、Red Hat Enterprise Server AS3は、Windows 2003 Enterprise Editionに比べて、はるかに大きなセキュリティ上のリスクを抱えているということになるではないか。つまり、Red Hat製品について指摘された脆弱性のうち、リモートユーザに悪用される危険性のあるものは66%、Windowsの場合は48%だ。そして、管理者権限を不正に取得される危険性は、Red Hatが17%、Windowsが13%ということになる。

問題は、Secuniaが伝えているのは、リモートユーザに悪用されるおそれのある脆弱性のパーセンテージと、クラッカーに管理者権限を取得されるおそれのある脆弱性のパーセンテージというばらばらの数字であって、これらの数字がどの程度交わっているかについては何も伝えられていないということである。

最も深刻な脆弱性は、説明するまでもなく、匿名ユーザにインターネット経由で管理者権限を取得され、システムの制御権を奪い取られることである。正規のユーザアカウントを持ち、システムに物理的にアクセスできる人物に悪用される弱点と、サイバースペースの凄腕のクラッカーにさらされる弱点とでは、どちらが危険だろうか。

この答こそが、Secuniaのグラフに欠けているものなのだ。考えるべきは、クラッカーに管理者権限を取得される危険性のあるすべての脆弱性のうち、権限を持たないユーザがインターネット経由で悪用できるもののパーセンテージはどれだけあるかである。Secuniaはこの重大な問題を捉え損ねているのだ。

Secuniaが例として取り上げた2つの製品については、信頼ある分析結果が手元にあるわけではないが、Secuniaがグラフ作成に利用したという警告を個人的に調べてみた結果わかったことがあるので、それを紹介しよう。

Red Hat: かなり長い時間をかけて Red Hat Enterprise AS3に関する警告を調べた結果、多少なりとも確信を持って言えるのは、権限を持たないユーザが管理者権限を取得して制御を奪う危険性がある脆弱性は1しかなかった、ということである。

Windows: 好対照の結果が得られた。Windows 2003 Enterprise Editionのセキュリティ警告を調べたところ、そのいくつかについては、権限を持たないユーザでも管理者権限を取得して、Windowsサーバの制御を完全に奪うことができるということがわかった。参考までに、Microsoft自体が公表している警告の例を3つだけ紹介しよう(強調は筆者による)。

1. インターネット経由でイメージを参照するユーザにとっての脆弱性: 「これはバッファオーバーランの脆弱性です。攻撃者にこの脆弱性を巧妙に利用されると、対象システムの制御を完全に奪われ、プログラムのインストール、データの参照、変更、削除、すべての権限を有する新しいアカウントの作成といった操作を許してしまう可能性があります」

2. SSLを利用するすべてのプログラム(Webサーバなど): 「Microsoft Secure Sockets Layer(SSL)ライブラリの一部であるPrivate Communications Transport(PCT)プロトコルには、バッファオーバーランの脆弱性が存在します。この影響を受ける可能性があるのは、SSLを有効にしていているシステム(場合によってはWindows 2000ドメインコントローラ)だけです。攻撃者にこの脆弱性を巧妙に利用されると、対象システムの制御を完全に奪われる可能性があります」

3. NetMeeting、その他のH.323プロトコル対応プログラムに内在する脆弱性: 「Microsoft H.323プロトコルで不正な形式の要求を処理する過程において、コードをリモートに実行されるという脆弱性が存在します。攻撃者にこの脆弱性を巧妙に利用されると、対象システムの制御を完全に奪われる可能性があります」

公表されている警告を分析して、特定の脆弱性の潜在的リスクを完全に洗い出すには、かなりの時間と努力、そして専門知識が必要である。しかし、それこそが、セキュリティ企業やリサーチグループがすべきことではないのだろうか。もちろん、これらの企業やグループは、通常、無料でこの種のリサーチを行っているわけではない。そのため、この分野におけるリサーチのうち、スポンサー付きのものについては、有意義かつ客観的な結果は期待できそうにない。報道関係者は良識を取り戻し、プレスリリースをそっくりそのまま採録して派手な見出しを付けることはつつしんで欲しいものだ。

Nicholas Petreley──ミズーリ州カンザスシティ在住の著述家兼コンサルタントである。