「グーグル社Windows使用中止」へのメッセージ:Operation Auroraは、テクノロジーでもOSの問題でもない

グーグル社がMicrosoft Windowsの使用を取りやめようとしているとの報道が瞬く間に広がっています。「どのOSがより優れており、安全か」という判断は行わずに、この「決定」には現実的な根拠があるのかどうか、いくつかの事実を検討してみたいと思います。なお、現時点ではこの報道の真偽は確認されていません。

この変更の原因として考えられるのは、グーグル社をはじめ、多くの企業が影響を受けた「Operation Aurora」攻撃です。McAfee Labsセキュリティ解析センターによれば、

「Operation Auroraは、Microsoft Internet Explorerの脆弱性を利用して、システムにアクセスするコードを含む組織的な攻撃でした。さらに、この脆弱性を利用して、システム内にマルウェアがダウンロードされ、実行されました。ターゲットユーザーが悪質なWebページにアクセスすると(ユーザーはそのWebページが信頼できると考えています)、気づかないうちに攻撃が開始され、システムがリモートサーバーに接続されます。攻撃者は、この接続を利用して企業の知的財産を盗み出し、グーグル社によれば、ユーザーアカウントにアクセスされたとのことです」

多くの人たちは気づいておりませんが、Operation Auroraは技術的な問題だけではありません。中には、「どうしてそんなことが言えるのか。Auroraは複数のネットワークで複数のコンピューターを所有したが、すべて、諸悪の根源であるMicrosoft Windowsを実行していた。Windowsを排除すれば、すべての問題が解決されるはずだ」という人もいるかもしれません。

ただこれらの議論は、問題の核心に近づいてはいません。確かに、攻撃者は非常に効果的なゼロデイの脆弱性を利用していました。また、さまざまな回避方法を用いて、ペイロードを配信していました。しかし、本当の脆弱性は技術でなく、「人」なのです。

Operation Auroraを仕掛けた攻撃者は、企業、個人の両方の視点からターゲットを熟知していました。ターゲットが何を実行し、どのような役割を担っているのかを把握していました。さらには、どのアプリケーションのバージョンを使用しているのかも知っていました。攻撃が始まったとき、ゼロデイの効果がInternet Explorerバージョン6に限定されていたのか不思議ですが、攻撃者はそれで十分なことを知っていました。

攻撃者がOperation Auroraを仕掛けるために収集した情報は、攻撃対象となるオペレーティングシステムではなく、攻撃を成功させるために必要な情報でした。彼らがターゲットにしていたのは、システムではなくは人だったのです。

攻撃者がこのように高度な分析を行っている状況で、ターゲットがLinuxなどのオペレーティングシステムを実行していたとしても、ほとんど違いはなかったでしょう。Linuxにも、Windowsにも、Macにも、何にでも弱点はありますが、最も脆弱な弱点は、システムのユーザーです。

Operation Auroraのように、攻撃者が企業のテクノロジーの配備や人材の詳細な情報を把握している場合、オペレーティングシステムの違いなどは、攻撃者にとって全く無意味です。技術的には、どのようなシステムやネットワークでも乗っ取ることが可能です。同様に、どのオペレーティングシステムに対応するマルウェアも作成することができます。

意志の固い攻撃者と情報収集者が時間をかけて、行動、好き嫌い、技術的な知識、役職など、ターゲットを調べ上げた場合、実際のエクスプロイトは取るに足りないといえるでしょう。必要なのは、ターゲットにリンクをクリックさせることだけです。攻撃者がターゲットについて知れば知るほど、ユーザーがクリックする可能性は高くなります。

ソーシャルエンジニアリング、情報収集は常にテクノロジーを打ち負かします。そして、この傾向は、今後も変わることはないでしょう。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速