「Macユーザーにはウイルスやマルウェアに感染しにくい」とか誰が言ってるの(笑)

no extension

いやマジで笑かす。

Macユーザーにはウイルスやマルウェアに感染しにくいという“神話”が根強いが、実際は容易に感染するため、早急な対策が必要だ。
1万7000台を超えるMacがマルウェア「iWorm」に感染、感染源は不明~掲示板「reddit」からの命令を待っているより

誰? 今時そんな「神話」をまき散らしてるバカは。 キミら2013年の騒ぎをもう忘れたの?

いまや Mac はマイナーなパソコンではない。 (多分 iOS 関連の開発の影響だと思うが)特にエンジニアの利用が多い Mac は攻撃者にとって明確なターゲットだ。

Apple における security incident response は相変わらず褒められたものではないが,それでも数年前に比べれば随分ましになってる。 これは Apple 製品への攻撃が現実的なものになってきたからだろう。 しかし,肝心のユーザ側が全く改善しない。

Apple の security update ページを見れば分かるが, Apple 製品のセキュリティ脆弱性は非常に多い。 緊急性の高いものについては(今回の bash 脆弱性のように)比較的早く対応するようになってきたが(←ここが改善された部分),大部分の修正は機能追加・変更の「ついで」に行われる。 ユーザの多くは incident response なんか見ないでメディアで公表される追加・変更された機能のリストだけを見て勝手にアップデートの是非を判断してしまう。 先日の iOS 8 へのアップデートについても,多くの脆弱性が修正されているのにもかかわらず,忌避するユーザが多く存在した。

Doshiは私のインタビューに答えて、iOS 8のアップデート率が低い理由について「まずiOS 8はWiFiでインストールする場合、サイズが大きすぎる。多くのユーザーは写真や動画にスペースを取られて、iOS 8が必要とする空き容量がない。第2に、多くの会社が、前回のセキュリティー問題を教訓にして、iOS 8に大きな脆弱性がないことが確認されるまで、数日間アップデートを待つように社員に求めている」と原因を推測した
iOS 8へのアップデート率の出だしはiOS 7より低い―空き容量が足りないとTwitterに悲鳴 - TechCrunchより
Haven't upgraded to iOS 8 yet? Aside from a lot of new features, Apple also fixed a number of security vulnerabilities in iOS 8. For example CVE-2014-4377, a memory corrupion issue in iOS's core graphics library. An exploit is now available for this vulnerability.
via InfoSec Handlers Diary Blog - iOS 7.1.x Exploit Released (CVE-2014-4377)

単純に脆弱性の数なら Microsoft 製品のほうが多いが,総合的に見たセキュリティ管理については Apple (およびそのユーザ)の方が断然劣る。 今回の worm 感染だって「起こるべくして起こった」としか言いようがない。

これは Apple への提言だが,機能の追加・変更(不具合修正も含む)のためのアップデートとセキュリティ対応のためのアップデートは別々に管理すべき。 できれば Adobe や Microsoft 等のように期日を決めてアップデートを行うのが望ましい。 これは「ユーザへの教育」としても有効だ。 セキュリティ・アップデートを個別に行うことでユーザ側も計画を立てやすくなるし,なによりセキュリティ脆弱性の認知に繋がる。 認識できてない問題は対応しようがない。

そろそろちゃんとやろうよ。 40年前のガレージハウスとは違うんだよ。 (私はもう懲りたので Apple 製品は使わないけど)

photo
セキュリティはなぜやぶられたのか
ブルース・シュナイアー 井口 耕二
日経BP社 2007-02-15
評価

暗号の秘密とウソ 新版暗号技術入門 秘密の国のアリス チャイナ・ハッカーズ 暗号解読―ロゼッタストーンから量子暗号まで 宇宙創成〈上〉 (新潮文庫)

日本語のタイトルはアレだが中身は名著。とりあえず読んどきなはれ。

reviewed by Spiegel on 2014/09/14 (powered by G-Tools)