「Macユーザーにはウイルスやマルウェアに感染しにくい」とか誰が言ってるの(笑)
いやマジで笑かす。
- 1万7000台を超えるMacがマルウェア「iWorm」に感染、感染源は不明~掲示板「reddit」からの命令を待っている -INTERNET Watch
- エンジニアが知っておくべき”iWorm” | Developers.IO
誰? 今時そんな「神話」をまき散らしてるバカは。 キミら2013年の騒ぎをもう忘れたの?
いまや Mac はマイナーなパソコンではない。 (多分 iOS 関連の開発の影響だと思うが)特にエンジニアの利用が多い Mac は攻撃者にとって明確なターゲットだ。
Apple における security incident response は相変わらず褒められたものではないが,それでも数年前に比べれば随分ましになってる。 これは Apple 製品への攻撃が現実的なものになってきたからだろう。 しかし,肝心のユーザ側が全く改善しない。
Apple の security update ページを見れば分かるが, Apple 製品のセキュリティ脆弱性は非常に多い。 緊急性の高いものについては(今回の bash 脆弱性のように)比較的早く対応するようになってきたが(←ここが改善された部分),大部分の修正は機能追加・変更の「ついで」に行われる。 ユーザの多くは incident response なんか見ないでメディアで公表される追加・変更された機能のリストだけを見て勝手にアップデートの是非を判断してしまう。 先日の iOS 8 へのアップデートについても,多くの脆弱性が修正されているのにもかかわらず,忌避するユーザが多く存在した。
単純に脆弱性の数なら Microsoft 製品のほうが多いが,総合的に見たセキュリティ管理については Apple (およびそのユーザ)の方が断然劣る。 今回の worm 感染だって「起こるべくして起こった」としか言いようがない。
これは Apple への提言だが,機能の追加・変更(不具合修正も含む)のためのアップデートとセキュリティ対応のためのアップデートは別々に管理すべき。 できれば Adobe や Microsoft 等のように期日を決めてアップデートを行うのが望ましい。 これは「ユーザへの教育」としても有効だ。 セキュリティ・アップデートを個別に行うことでユーザ側も計画を立てやすくなるし,なによりセキュリティ脆弱性の認知に繋がる。 認識できてない問題は対応しようがない。
そろそろちゃんとやろうよ。 40年前のガレージハウスとは違うんだよ。 (私はもう懲りたので Apple 製品は使わないけど)