パスワードを忘れた? アカウント作成
9155 story

最もセキュアなOSはBSDとMac OS Xとする調査結果 212

ストーリー by Oliver
安心第一 部門より

sillywalk曰く、"ITMediaの記事によれば、イギリスのセキュリティ調査会社mi2gが調査したところ、最もセキュアなオンラインコンピューティング環境はBSDとMac OS Xとの結果になりました。
同社は昨年11月~今年10月の1年間にわたり常時接続コンピュータへのアタック23万件あまりを分析。その結果、被害件数はLinux(65.64%)、Windows(25.19%)で9割以上を占めました。一方、BSDやMac OS Xは4.82%と低く他二者と比較してセキュアであることが実証された、といいます。ちなみにmi2g社はApple社とビジネス上の関係は何ら無いと断りを入れています。
しかしこの調査、そもそもBSDとMac OS Xの普及の絶対数が少ないから被害件数も少なくて当然なのでは?という気がします。事実、タレコみ人の師匠は*BSDのウィザードですが、師曰く「マイナーだからそもそも攻撃されない」「仮に侵入されても人が造ったExploitしか使えない小物のクラッカーでは*BSDを乗っ取るのは無理」と公言して憚りません。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by caddis (13231) on 2004年11月04日 9時42分 (#647490)
    ぐーぐる様によると
    一番セキュアなOS [google.co.jp]
    一番安全なOS [google.co.jp]
    調査機関によって結果が全然違うのは承知の通り。

    このテの話題が出るたびに言われてることですが、
    結局は管理者のスキルに依存してるだけで、OSそのものの安全性とは別問題なんですよね。
    ここで"BSD"が一番安全だと皆が認識するようになったとしても、
    野良BSDサーバが増えたらすぐにセキュアでないBSDサーバの割合は増えることでしょう。

    (無駄だとわかっていても)どうしても"OS自体"のセキュアで順位を つけたいというのなら、
    PCをよく知らない人100人くらい集めて、各OSの定番となっているような解説書だけ渡して、
    一通りサーバを構築させたらどうでしょうか。
    それで一番穴が少なかったOSをセキュアなOSとするということで。

    #順位付けすればいいってもんじゃないと思うのでID
  • TRONなら (スコア:3, おもしろおかしい)

    by suezo (2881) on 2004年11月04日 6時50分 (#647444) 日記
    ウィルスともワームとも無縁です
  • この割合って・・・ (スコア:3, すばらしい洞察)

    by tomo_aquarius (22511) on 2004年11月04日 9時17分 (#647480) 日記
    公開サーバに使用されているOSの割合にしか見えないのは 私だけでしょうか?
  • OS X (スコア:3, 参考になる)

    by nidak (2008) on 2004年11月04日 9時59分 (#647503) ホームページ 日記
    OS9の頃はセキュリティーアップデートなんて、今ほど頻繁に
    なかったんですが、BSD、Mach KernelベースのDarwin OSになった
    とたんに、案の定、*nix関係のセキュリティー問題に悩むことに
    なりました。

    こう考えると、Mac OS9以前はもっとセキュアなOSだったと。

    ここで、使っている人間が少ないのだから、単に穴が見つかって
    いないだけじゃないの?という突っ込みもあるが、そう考えると
    Windowsの穴は、その膨大な数のユーザー数から考えると、少なく
    見えてしまうので、Linuxよりもセキュアではないか?ということ
    になってしまう。
    --

    There is no spoon.
    • Re:OS X (スコア:1, おもしろおかしい)

      by limbo (6813) on 2004年11月04日 10時20分 (#647514) 日記
      オライリーのeコマース本にはセキュアなウェブサーバとしてMac OS 9が挙げられていた…

      #爆弾が出るセキュアなOSってのもなあ。
      親コメント
      • Re:OS X (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2004年11月04日 11時53分 (#647558)
        >#爆弾が出るセキュアなOSってのもなあ。

        セキュリティ保全に自爆装置は必須です。
        親コメント
  • by illes.frontgrass (23068) on 2004年11月04日 13時21分 (#647622)
    BSD: 絶対数が少なくて、セキュリティ意識のしっかりした人が多め。
    Linux: 絶対数はそれなり、セキュリティに関して慢心ぎみの初心者が割と居る。
    Windows: 絶対数は多い、パッチが出てもパッチの影響が怖くてあてたくない人多数。
    MacOSX: 絶対数は少ない、パッチが出るとありがたがって積極的にあてる。

    # 私MacOSX使いです。やっすい維持費で穴塞いでもらえるのが楽でねぇ…
  • それなら (スコア:2, 興味深い)

    by Anonymous Coward on 2004年11月04日 6時33分 (#647440)
    >師曰く「マイナーだからそもそも攻撃されない」

    本来安心・安全であるべきサーバなのだから、マイナーで攻撃されないのならそれが一番なのでは?

    元を読んでないのでわかりませんが、シェアと攻撃された割合をふまえてどのくらいの確率で攻撃されるのかも考慮に入れて発表してるのではと思うけど。
    • Re:それなら (スコア:1, 参考になる)

      by Anonymous Coward on 2004年11月04日 8時44分 (#647465)
      クラックされかけた知人がおりますが、話を聞く限り、攻撃された後に
      各種システム向け(Solaris等含む)攻撃ツールのアーカイブが残ってたとか。
      *BSD程度ではマイナーとは言えませんぜ。

      パッケージシステムの充実やスクリプト言語の隆盛をみると、UN*X系なら
      どれでも(攻撃し易さは)一緒な気がします。
      落し易さはシステムより管理者によるものだと思うけど。

      # 乗っ取られてるらしい海外のサイト(linux?)みかけたAC
      親コメント
      • by saitoh (10803) on 2004年11月04日 11時57分 (#647559)
         netbsd-i386でうっかりセキュリティホールをふさぎ忘れて、実際攻撃成功されたことがあるので、i386のBSDではマイナーとはいえませんね。

        NetBSD-alphaとかsony-newsとかだと、十分マイナーですね。i386用のコードでバッファオーバーフロー攻撃を受けたら、プロセスは落ちるかもしれないけど乗っ取られはしないので。

        親コメント
  • ウィルスやワームは? (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2004年11月04日 9時35分 (#647488)
    もはや危険の対象ではない、という判断なのだろうか。

    >「仮に侵入されても人が造ったExploitしか使えない小物のクラッカーでは*BSDを乗っ取るのは無理」
    こういう慢心が一番やばいということを教えてあげた方が。
    BSDだろうがLinuxだろうが、きちんと「ソフトウェアの更新をして
    いない限りは危険だ」と思うんですけど、この人は何が言いたいのか。

    (そして、きちんと更新されてるならLinuxもBSDも大体同等に
    安全だと思うんですが)
    • > こういう慢心が一番やばいということを教えてあげた方が。
      >BSDだろうがLinuxだろうが、きちんと「ソフトウェアの更新をして
      >いない限りは危険だ」と思うんですけど、この人は何が言いたいのか。

      もちろん*BSD系が100%安全だという気は毛頭ありません。常に更新し続ける事は大前提ですし、それすらせず放置していても大丈夫、などとは一言も言ってません。
      現に4.82%は被害に遭っていますし、MacOS X用rootkitが発見された [srad.jp]との報も記憶に新しいところです。
      --
      And now for something completely different...
      親コメント
  • by 6809 (21160) on 2004年11月04日 12時42分 (#647591) ホームページ
     FreeBSDとNetBSDとOpenBSDをひとまとめにしている時点で、すでに調査結果を信用できないと思ってしまうのは私だけでしょうか。これらをひとくくりにしてBSDだというのなら、MacOS Xだってその中に入ってしまいそうな気がします。まあ、Linuxのほうもディストリビューションの違いに言及していないので、同じレベルといえば同じレベルですが。
    --
    ---- 6809
  • Linux系     65.64%
    Win系      25.19%
    BSD系(MacOSX含) 4.82%

    発表されている3種類をすると95.65%
    「BSD/Macは割合が低いから最もセキュア」って論調なら、
    その他の4.35%に含まれているOS(TRON?MacOS9?BeOS?)の方がセキュアって言えてしまうような気が。
  • by Technical Type (3408) on 2004年11月04日 14時32分 (#647672)
    もっぱら FreeBSD を使っていますが、サーバー用途なら、Windows や、一部の Linux のディストリビューションみたいに「最初から何でも使えます」じゃなくて、最小構成でインストールできるので、対応しなければいけないセキュリティーの脆弱性が少ない。単純化して話をすれば、Web サーバーとして使っていれば、 Apache の脆弱性と、とカーネルとライブラリでWeb サーバー用途で影響する脆弱性だけ対応すればいい、みたいな感じで (DB や PHP も使っていればそれも対応が必要だが) Windows みたいに中身がブラックボックスになっていて「使ってもいないプログラムが最初から山のようにインストールされているから、それの脆弱性が出た度に対応しなくちゃいけない。影響があるかどうかも確認しなくちゃいけない」というのとは訳が違う。

    だから、脆弱性が出たら対応しなきゃいけないのは Windows も FreeBSD も一緒だけど、それに要する手間とか、対応しなけりゃいけない頻度は全然違うわけ。実際、FreeBSD の方が、Windows のサーバーより全然楽だ。リモートから直せるのも助かるし。そういった事を無視して、「脆弱性が出たら対応しなきゃいけないのは Windows も FreeBSD も一緒だから、Windows も FreeBSD もかかる手間は同じだ」っていうのは、詭弁。あるいは、使えない奴の「酸っぱいブドウ」的な意見。

    OpenBSD は、ちょっとしか使ったことが無いが、セキュアである事が売りなシステムだし、NetBSD もちょっとしか使ったことが無いが、NetBSD を好んで使う硬派な管理者であれば、サーバーを構築するのに無意味なプログラムをジャンジャン入れて、Windows や、一部の Linux のディストリビューションみたいに、対応しなきゃいけない脆弱性を増やす様な狂った真似はしないだろう。

    もちろん、Linux でも、最小限の物だけを選んでインストールできる硬派なディストリビューションなら、対応しなければいけない脆弱性を少しにできるというのは同じである。まあ、 BSD って、マイナーでそんなに沢山ディストリビューションが無いってのもあるけど。

    # Mac OS X は知らないけど、、、

    • by strataud (2453) on 2004年11月04日 16時39分 (#647746)

      もっぱら FreeBSD を使っていますが、サーバー用途なら、Windows や、一部の Linux のディストリビューションみたいに「最初から何でも使えます」じゃなくて、最小構成でインストールできるので、対応しなければいけないセキュリティーの脆弱性が少ない。

      セキュリティに関していうと,Linuxの場合は,全部一緒くたにされるというハンデがあるようです。どことはいわないが,ガードの甘いディストリビューションがあるため数字が大きく出がち。

      もちろん、Linux でも、最小限の物だけを選んでインストールできる硬派なディストリビューションなら、対応しなければいけない脆弱性を少しにできるというのは同じである。

      最小構成でインストールできる,アップデートが簡単ということなら,Gentooはかなりいい線いっていると思いますよ。パケットフィルタのことまで考えるなら,現状では,OpenBSDかGentooがいいんじゃないかと思います。(FreeBSD 5.x系が枯れてくれば,FreeBSDでもよさそうですが。)

      あと,SELinuxは重要な機能だと思います。

      ズボラな管理者が多いので危険,という議論もいいのですが,きちんと管理するときにどこまでセキュアにできるか,という議論も重要でしょう。後者の議論なら,Linuxカーネルはかなりのレベルです。

      親コメント
  • >被害件数はLinux(65.64%)、Windows(25.19%)で

    この数字を見る時点で・・・。

    •  「マニュアル攻撃」っつーのがミソですな。ワームにやられてアヒャってる Windowsサーバを含めれば全然違った数字になるでしょう。

       前出の (#647436) [srad.jp]にもあるように、 (LinuxならたいていのディストリビューションでPerlとかsendmailとか が入ってるけど、Windowsだと自分で入れる必要があるので) Windowsは乗っ取ってもあまりおいしくないから、わざわざ手動で アタックするならWindowsよりもLinuxを選ぶでしょうね。

       とはいえ、つまりLinuxは積極的に狙われるってことなので 運営する際には注意が必要であるとは言えるでしょう。

      親コメント
    • by yu_raku (419) on 2004年11月04日 10時57分 (#647531)
      netcraftによるとWebサーバの普及率が
      http://news.netcraft.com/archives/2004/11/01/november_2004_web_server_survey.html
      Apache 67.92%
      Microsoft 22.72%
      とのことなので、「よく狙われるコンピュータ≒Webサーバ」と考えるとほぼ一致するような気がします。

      # apacheに含まれるBSD系のOSの率がよくわからん

      クラック数ベースの比較だと、クラック可能なコンピュータが一定の割合でクラックされるとすると(実際はクラックの人気度も絡むのかな?)、「稼動数 * 脆弱性の割合」ではなく「稼動数 * ほったらかしの割合」に近くなると思うのでOSの脆弱性云々とは全く別次元の比較の話のようにも思います。
      WindowsUpdateとかapt-getとかyumが効果的に運用されることを前提とすれば、OS同士の比較としてもいい気もしますけど…
      親コメント
    • by Anonymous Coward on 2004年11月04日 13時17分 (#647620)
      結局のとこ、
      普及してる=狙われやすい
      ってことじゃないですかね。セキュアかどうかは、どっちかっつーとOSよりも管理者次第・・・
      親コメント
    • Linuxが外部から接続を受け付けるサービスを提供しやすい(SSHやFTPとかTelnetとか)
      のに対して、Windowsでわざわざそんなサービスを提供してる人が少ないから・・・・かなぁ?
      親コメント
    • 原文チェックしようと思ったら有料らしいので諦めてしまいました。

      ITmediaの記事にある「常時接続されているコンピュータ」とか「マニュアル攻撃を受けて被害に遭う」といった言葉がどういう定義で使われているのかわかりませんが、どうも違和感のある数字ですね。
      # Windowsの被害件数が意外と少ないから、サーバ限定の調査なのかも

      タレコミには「BSDとMac OS Xの普及の絶対数が少ないから被害件数も少な」いだろうとありますが、Macを含めたBSD系とLinuxなら、(デスクトップ用途でもサーバ用途でも)シェアにそれほど大きな差はなさそうな気がする一方、被害件数は軽く10倍を超えてますし。

      製品レベルのOS(Windows含む)ならどれでも、ある程度注意を払って運用していれば「そこそこ安全」にはなるはずですし、そもそもこういった「件数勘定に」どこまでの意義があるのかわかりませんが。
      # そういった意味では、野良サーバが少ない(多分)Windowsの
      # 被害件数が少なくなってるのは妥当な数字なのかな?

      まあ、数え方次第でどんな数字でも出てくるよ、ということでしょう。
      --
      yp
      親コメント
      • by Anonymous Coward on 2004年11月04日 7時54分 (#647455)
        原文って これ [mi2g.com] じゃなくてレポート形式のものですか?
        親コメント
        • あれれ、サマリーがあったんですね(どのリンク踏んでもOrderページに飛んじゃって発見できませんでした)。これは失礼を。

          せっかくなので(いまさらではありますが)タレコミやITMediaの記事で抜けている内容をちょっと紹介してみます。

          • 調査対象は24時間/週7日稼動のグローバル接続されたコンピュータ235,907台
          • 対象のコンピュータは全体的(holistic:完全に動作するシステムの意だろう)で、何らかのウイルス対策を備えており、基本的なセキュリティは最新(at the very least)
          • separate firewall unit のないものが全体の32.7%、総額$7 million 以下のユニットを備えたものが58.8%、その他$40 million 以上のクラスまで各種
          • manual hacker attacks でsuccessfully compromise された数を集計
          • Windowsはmalwareに弱いので、MyDoom, NetSky, SoBig, Klez and Sasserなどを考慮に入れれば世界一危険

            miniカテゴリとmicroカテゴリで90%以上を占めているので、小規模サーバが集計の中心になっているようです。全体で23万件強という数字は、「損害を受けた」コンピュータの台数と一致するので、それだけを集計したと考えられます。

            # 中古で5千円の「ファイアーウォール機能つきルーター」や
            # 余った部品で組んだ「でっちあげゲートウェイ」は
            # 「総額$7 million 以下のseparate firewall unit」に
            # 含まれるんだろうか・・・?

            「基本的なセキュリティは最新」ということは、最低限の管理はされているシステムのデータだけを集めたということなのでしょう(きっと)。「ハッカーによる手動攻撃」で「損害を受けた」ものの定義は相変わらずはっきりしません。
          --
          yp
          親コメント
      • まだ、出ていない意見なので投稿させていただきます。
        > 数え方次第でどんな数字でも出てくるよ
        これに対して、
        Microsoftな人、もしくはそれに類する者の観点
        と言うのはどうでしょうか、こういう話題の場合いつもでる意見ですが、
        あまりためにならない統計の結果ですし
        単に「Linuxはサーバーとして危険すぎる」、と印象付けたいがための
        正しい数字なのでは無いでしょうか。
        親コメント
      • Linuxがサーバとして一番多いであろうことは容易に想像がつきます。
        クライアントと同じで、ユーザが多いものに巻かれろ方式で、バカな
        ど素人がサーバを建てて放置してやられやすいパターンが多いのでは?
        Windowsのサーバ系のものは高価なのでど素人が気軽に試しで手を
        出せるようなものじゃないでしょうし...。

        Mac OS Xでサーバを運用する人は少ないのでは?Mac OS Xをサーバ
        として運用するにはやはりハードルが高いので、Mac OS X Serverと
        数的には変わらない程度に少ないと思います。それに比べ、FreeBSDは
        ハードルが高くてもサーバとしての実績や資料の量からいって、ずっと
        多いと思います。*BSDのほとんどかも。
        親コメント
  • by Anonymous Coward on 2004年11月04日 10時50分 (#647528)
    OS自体のシェアも関係あるだろうけど,CPUの種類も大きいと思う。
    exploitのほとんどは機械語レベルで書かれているので,
    当該CPUの機械語を理解する人の数が少なければ少ないほど
    被害も小さいのかなと思ったり

    むかしLinuxPPCのサーバーを立ててたけど,ほとんどアタックされた覚えが無い。
    • by TxG (7966) on 2004年11月04日 11時14分 (#647543)
      debianがやられたときもAlphaのマシンは無事でしたよね。

      i386以外で作るのもアリなんだろうなぁ。
      親コメント
    • CPU のアーキテクチャや ABI に違いはあると思います。
      バッファオーバフロー系の攻撃が多いと思いますが、x86系だとレジスタが少ないので、引数も返り値もリターンアドレスもすべてスタックにつんでしまいます。それに比べて例えば PowerPC 系だと標準の ABI では 8 個まではレジスタで引数を渡しますし、リターンアドレスもリンクレジスタに入れるので x86 系に比べて攻撃しずらいです。レジスタを直接書き換えるのはスタックに比べて充分に困難だからです。
      なので、用途によっては x86以外を選択するというのも一つの理由として充分にあり得るかと。
      親コメント
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...