グーグル社がMicrosoft Windowsの使用を取りやめようとしているとの報道が瞬く間に広がっています。「どのOSがより優れており、安全か」という判断は行わずに、この「決定」には現実的な根拠があるのかどうか、いくつかの事実を検討してみたいと思います。なお、現時点ではこの報道の真偽は確認されていません。
この変更の原因として考えられるのは、グーグル社をはじめ、多くの企業が影響を受けた「Operation Aurora」攻撃です。McAfee Labsセキュリティ解析センターによれば、
「Operation Auroraは、Microsoft Internet Explorerの脆弱性を利用して、システムにアクセスするコードを含む組織的な攻撃でした。さらに、この脆弱性を利用して、システム内にマルウェアがダウンロードされ、実行されました。ターゲットユーザーが悪質なWebページにアクセスすると(ユーザーはそのWebページが信頼できると考えています)、気づかないうちに攻撃が開始され、システムがリモートサーバーに接続されます。攻撃者は、この接続を利用して企業の知的財産を盗み出し、グーグル社によれば、ユーザーアカウントにアクセスされたとのことです」
多くの人たちは気づいておりませんが、Operation Auroraは技術的な問題だけではありません。中には、「どうしてそんなことが言えるのか。Auroraは複数のネットワークで複数のコンピューターを所有したが、すべて、諸悪の根源であるMicrosoft Windowsを実行していた。Windowsを排除すれば、すべての問題が解決されるはずだ」という人もいるかもしれません。
ただこれらの議論は、問題の核心に近づいてはいません。確かに、攻撃者は非常に効果的なゼロデイの脆弱性を利用していました。また、さまざまな回避方法を用いて、ペイロードを配信していました。しかし、本当の脆弱性は技術でなく、「人」なのです。
Operation Auroraを仕掛けた攻撃者は、企業、個人の両方の視点からターゲットを熟知していました。ターゲットが何を実行し、どのような役割を担っているのかを把握していました。さらには、どのアプリケーションのバージョンを使用しているのかも知っていました。攻撃が始まったとき、ゼロデイの効果がInternet Explorerバージョン6に限定されていたのか不思議ですが、攻撃者はそれで十分なことを知っていました。
攻撃者がOperation Auroraを仕掛けるために収集した情報は、攻撃対象となるオペレーティングシステムではなく、攻撃を成功させるために必要な情報でした。彼らがターゲットにしていたのは、システムではなくは人だったのです。
攻撃者がこのように高度な分析を行っている状況で、ターゲットがLinuxなどのオペレーティングシステムを実行していたとしても、ほとんど違いはなかったでしょう。Linuxにも、Windowsにも、Macにも、何にでも弱点はありますが、最も脆弱な弱点は、システムのユーザーです。
Operation Auroraのように、攻撃者が企業のテクノロジーの配備や人材の詳細な情報を把握している場合、オペレーティングシステムの違いなどは、攻撃者にとって全く無意味です。技術的には、どのようなシステムやネットワークでも乗っ取ることが可能です。同様に、どのオペレーティングシステムに対応するマルウェアも作成することができます。
意志の固い攻撃者と情報収集者が時間をかけて、行動、好き嫌い、技術的な知識、役職など、ターゲットを調べ上げた場合、実際のエクスプロイトは取るに足りないといえるでしょう。必要なのは、ターゲットにリンクをクリックさせることだけです。攻撃者がターゲットについて知れば知るほど、ユーザーがクリックする可能性は高くなります。
ソーシャルエンジニアリング、情報収集は常にテクノロジーを打ち負かします。そして、この傾向は、今後も変わることはないでしょう。
関連記事
- [2011/08/09] 世界14カ国、72組織をターゲットにしたOperation Shady RAT
- [2010/06/18] Operation Auroraのターゲットはソースコードリポジトリーと判明
関連情報
※本ページの内容はMcAfee Blogの抄訳です。
原文:Message to Google: Aurora NOT a Technology or OS Issue
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)