Google内部の情報筋によると、オンライン検索・広告大手の同社は、Microsoft Windows OSからの正式な移行を進めているという。報道によると、この企業文化の転換はセキュリティ上の懸念を軽減することが目的だという。これは、特にMicrosoftのライバル企業が独自のOSを開発しているという点では、魅力的な見出しとなるが、セキュリティ戦略としてはあまり効果的とは言えない。
ある意味、GoogleがWindowsを放棄するのは全く理にかなっていると言えるでしょう。Googleは常にMicrosoftの激しいライバルであり、GoogleのAndroidモバイルOSと今後リリース予定のChrome OSはLinuxベースです。当然のことながら、GoogleはMicrosoftにさらなる収益をもたらすことは避け、Googleが顧客に期待するWindowsの基盤となるプラットフォームに頼るべきです。
Googleが自らの利益を追求すべきもう一つの分野は、Webブラウザです。Chromeブラウザは発売以来市場シェアを伸ばしてきましたが、今年初めにはMicrosoftのInternet Explorerブラウザのゼロデイ脆弱性が悪用され、システムが侵害されGoogleからデータが盗まれました。IEでの表示方法を確認する必要がある主要な開発者を除けば、Googleのユーザーは競合ブラウザを使うべきではないはずです。
そこで、Windowsの使用を中止する動きの背景にはセキュリティ上の懸念があるという主張に至りました。報道によると、Googleは中国政府による国家支援攻撃であると主張したOperation Aurora攻撃への対応として、Windowsの使用を禁止したようです。
この論理の欠陥は、攻撃者がLinuxやMac OS Xなどの代替プラットフォームを侵害できないと想定していることです。Microsoft Windowsは、その圧倒的な市場シェアゆえに、一般的なマルウェア攻撃の大部分の標的となっているため、Windowsから切り替えることで日常的な運用リスクを軽減できる可能性があります。しかし、精密な標的型攻撃に関しては、代替OSプラットフォームはより優れた防御力を提供しないため、Windowsを廃止してもOperation Aurora攻撃を防ぐことはできなかったでしょう。
実際、代替プラットフォームは精密攻撃をはるかに容易にすると言えるかもしれません。マルウェア開発者は、標的の5%にしか効果のないエクスプロイトの開発に時間とリソースを費やすことを好まないため、Mac OS Xプラットフォームはセキュリティが優れているという幻想を抱いています。しかし、毎年開催されるPwn2Ownコンテストでは、Mac OS Xは数分、あるいは数秒で侵入され続けています。
Googleがセキュリティ戦略の基盤となるOSプラットフォームを決定する前に、経営陣とIT管理者は、情報セキュリティの古典とも言える『Hacking Exposed』(現在第6版)を読むべきです。攻撃の第一歩は、標的の詳細情報を収集すること、つまりフットプリントを収集することです。
Hacking Exposedは、「組織を体系的かつ系統的に追跡することで、攻撃者は組織のセキュリティ体制に関するほぼ完全なプロファイルを作成できる」と説明しています。つまり、Googleは任意のオペレーティングシステム、Webブラウザ、その他のアプリケーションを使用できますが、プロの攻撃者は偵察中にそれらを学習し、Googleが使用しているソフトウェアを悪用するように攻撃を設計するということです。
マカフィーのワールドワイドCTO、ジョージ・カーツ氏に意見を伺いました。カーツ氏は次のように説明しています。「オペレーティングシステムを移行するだけでは、必ずしも標的型攻撃に対する組織の保護が強化されるわけではありません。Windows環境に影響を与える日常的なマルウェアの削減には確かに効果を発揮する可能性があります。特筆すべき点は、標的型攻撃はどのOSに対しても仕掛けられる可能性があるものの、Windows環境に関しては過去5~7年間で膨大な専門知識が蓄積されてきたということです。例えばOS X向けに、Windows環境と同等の高度なツールを開発するには、同様の成熟期間が必要になるでしょう。ルートキットやその関連機能などは、Windowsの世界では極めて高度で、比較的成熟しています。」
ESETの技術教育ディレクター、ランディ・エイブラムス氏は、「Googleの対応は、Google自身のパッチ管理とセキュリティ問題をMicrosoftのせいにすることで、Googleがセキュリティ対策に取り組んでいることを示そうとするマーケティング/広報活動的な対応です。IE 6の古いバージョンを運用することで、彼らは一体何を考えていたのでしょうか?」と述べています。
エイブラムス氏も同意見です。「標的型攻撃において、OSはもはや大きな問題ではありません。OSが攻撃ベクトルとなるだけでなく、インストールされているサードパーティ製アプリも新たな攻撃ベクトルとなります。攻撃者がOSを知り、Adobeの脆弱性を狙ったとしても、結局は敗北に終わります。」
カーツ氏はさらに、「レイヤー8は一般的に、私たちが直面する最大のセキュリティ課題です。ソーシャルエンジニアリングの被害者となる人々は、どのブラウザやOSを使用していても、メールやインスタントメッセージを介して同じことをするでしょう」と付け加えました。
ESET のエイブラムス氏は、「Google は、最新バージョンのブラウザを使用し、パッチ管理の実践を強化することで、セキュリティをさらに強化するだろう」とまとめています。
すべての組織はIE6を放棄し、Windows XPからの移行を真剣に検討すべきです。どちらもセキュリティ上の懸念を抱えており、両者を組み合わせるとハッキングの危険が高まります。特にGoogleは、セキュリティの問題をはるかに超える正当な理由から、WindowsとInternet Explorerを放棄しています。
しかし、GoogleはGoogleであることを忘れてはなりません。攻撃に成功すれば、Googleは機密データや情報の宝庫となるのです。Googleは標的型攻撃の性質を理解し、Microsoftソフトウェアを禁止するという単なる反射的な対応ではなく、より優れたセキュリティポリシーを策定する必要があります。
TonyのFacebookページをフォローするか、[email protected]までメールで連絡を取ることができます 。また、 @Tony_BradleyPCWとしてもツイートしています。
