「Macユーザーにはウイルスやマルウェアに感染しにくい」とか誰が言ってるの（笑）

いやマジで笑かす。

• 1万7000台を超えるMacがマルウェア「iWorm」に感染、感染源は不明～掲示板「reddit」からの命令を待っている -INTERNET Watch
• エンジニアが知っておくべき”iWorm” ｜ Developers.IO

Macユーザーにはウイルスやマルウェアに感染しにくいという“神話”が根強いが、実際は容易に感染するため、早急な対策が必要だ。

誰？ 今時そんな「神話」をまき散らしてるバカは。 キミら2013年の騒ぎをもう忘れたの？

いまや Mac はマイナーなパソコンではない。 （多分 iOS 関連の開発の影響だと思うが）特にエンジニアの利用が多い Mac は攻撃者にとって明確なターゲットだ。

Apple における security incident response は相変わらず褒められたものではないが，それでも数年前に比べれば随分ましになってる。 これは Apple 製品への攻撃が現実的なものになってきたからだろう。 しかし，肝心のユーザ側が全く改善しない。

Apple の security update ページを見れば分かるが， Apple 製品のセキュリティ脆弱性は非常に多い。 緊急性の高いものについては（今回の bash 脆弱性のように）比較的早く対応するようになってきたが（←ここが改善された部分），大部分の修正は機能追加・変更の「ついで」に行われる。 ユーザの多くは incident response なんか見ないでメディアで公表される追加・変更された機能のリストだけを見て勝手にアップデートの是非を判断してしまう。 先日の iOS 8 へのアップデートについても，多くの脆弱性が修正されているのにもかかわらず，忌避するユーザが多く存在した。

Doshiは私のインタビューに答えて、iOS 8のアップデート率が低い理由について「まずiOS 8はWiFiでインストールする場合、サイズが大きすぎる。多くのユーザーは写真や動画にスペースを取られて、iOS 8が必要とする空き容量がない。第2に、多くの会社が、前回のセキュリティー問題を教訓にして、iOS 8に大きな脆弱性がないことが確認されるまで、数日間アップデートを待つように社員に求めている」と原因を推測した

Haven't upgraded to iOS 8 yet? Aside from a lot of new features, Apple also fixed a number of security vulnerabilities in iOS 8. For example CVE-2014-4377, a memory corrupion issue in iOS's core graphics library. An exploit is now available for this vulnerability.

単純に脆弱性の数なら Microsoft 製品のほうが多いが，総合的に見たセキュリティ管理については Apple （およびそのユーザ）の方が断然劣る。 今回の worm 感染だって「起こるべくして起こった」としか言いようがない。

これは Apple への提言だが，機能の追加・変更（不具合修正も含む）のためのアップデートとセキュリティ対応のためのアップデートは別々に管理すべき。 できれば Adobe や Microsoft 等のように期日を決めてアップデートを行うのが望ましい。 これは「ユーザへの教育」としても有効だ。 セキュリティ・アップデートを個別に行うことでユーザ側も計画を立てやすくなるし，なによりセキュリティ脆弱性の認知に繋がる。 認識できてない問題は対応しようがない。

そろそろちゃんとやろうよ。 40年前のガレージハウスとは違うんだよ。 （私はもう懲りたので Apple 製品は使わないけど）