US-CERT FUD戦
Microsoftとしては「WindowsはLinuxより3倍安全」といった見出しに目を留めてほしいのだ(同社がUS-CERTの統計値に口をつぐんでいるのは、Windows Meta File(WMF)の脆弱性の修正プログラム作りに追われて手一杯だからだ)。しかし、この2つの数値が現代の2大OSを代表するものでないことは、ほんの少し調べればわかることである。
一方の数値はXP、NT、98などのWindows OSで見つかった脆弱性だが、もう一方の数値は単にSolaris、AIX、HP-UX、BSD、Linuxについての総計というよりも、Linuxの山ほどあるバージョンについての総計を表している。Linuxのすべてのディストリビューションについて固有の脆弱性をすべて合計したものが特定のディストリビューションの脆弱性を合計したものと同じであるとは考えられない。このことはWindowsのいろいろあるバージョンについても成り立つはずである。
これでわかるように、これらの総計値がWindowsとLinuxのセキュリティについての相対的な度合いを正確に反映しているかの如く論じるのはまったく無意味な行為である。
数字がすべてを語るわけではない
曲がりなりにも本流を名乗る専門紙なら記事の中でセキュリティを正しく理解させることはできるはずだ。脆弱性の数だけ論じても、その重大度や付け込まれやすさ、ベンダが対策を講じるまでの時間など、その他の要因も検討しなければほとんど意味はない。
| では脆弱性を話題にしたいの? |
|---|
|
Windowsが脆弱性でLinux/Unixを打ち負かすとの主張(「Windows beats Linux/Unix on vulnerabilities」)が流布される一方、Windows管理者はMicrosoftのパッチ提供がないままWMFの脆弱性に汗水垂らして対処している。MicrosoftがWMFの脆弱性を公表したのは12月27日。これは、いわゆるZero-day Exploitであった。つまり、攻撃が認知されたとき、その脆弱性はまだ知られていなかったのである。 それから1週間以上経つのに、Windows管理者は身を守るために非公式パッチの使用を余儀なくされている。Microsoftによると、品質テストにパスすれば来週にはパッチが提供されるらしいが、この厄介な脆弱性に対して少なくとも2週間にわたって攻撃のチャンスを与えることになる。これまでに悪意のあるWMFファイルを少なくとも70件見つけたとの話も伝わってきている。 この脆弱性が、バッファ・オーバーフローやその他新種の攻撃ではなく、設計上の問題であることは注目に値する。WMFは外部プロシージャや実行コードを呼び出すことができると考えられている。つまり、画像ファイルから任意のコードを実行できる機能が組み込まれているからこそ脆弱なのである。 |
US-CERTの提供データが無意味なものの寄せ集めというわけではない。昨年US-CERTが発行したTechnical Cyber Security Alerts(TA)情報を調べれば、今日広く使われているOSの中で特に脆弱なものを容易に見極めることができる。要点は次のとおり。
- 2005年に発行されたTA情報は22件
- そのうち11件はWindowsプラットフォームに関するもの
- 3件はOracleプラットフォーム
- 2件はCisco製品
- 1件はMac OS X
- Linuxに関するものなし
Microsoft一辺倒の新聞が我々に見せようとしていることとだいぶ様相が異なる。同じようなことはまだある。US-CERTの最新の脆弱性に関するリストには全部で11件の脆弱性が掲載されており、そのうちの6件はWindowsに直接言及していているが、Linuxに言及しているものは1件もない。
それでも、業界紙の記者は、WindowsとLinuxのセキュリティについての相対的な度合いに意味があるとの作り話の上に欺瞞の総計値を吹聴することで、US-CERT FUD戦を再び仕掛けようとしている。
読者を故意に — 場合によっては無知のせいかもしれないが — 欺く記者は恥を知れ。虚言を容易に招く統計を公表するUS-CERTは恥を知れ。
原文
