「Windowsのほうが簡単に『所有』されてしまう」：セキュリティ専門家

　あるセキュリティ専門家が、Windowsオペレーティングシステムのほうが全体的な所有コスト（TCO）が少なくて済むという見解を発表した。ただし、この発表はMicrosoftが待ち望んでいたのとは、少し意味合いが異なるもののようだ。

　著名なセキュリティ専門家で、脆弱性評価会社Immunityのマネージングディレクターを務めるDavid Aitelは13日（米国時間）にある論文を発表した。このなかで同氏は、コンピュータを「所有する」（own）--ハッカー用語でシステムを乗っ取ることを指す--のは、Windowsマシンのほうが簡単だと述べている。この論文には随所に駄洒落やジョークが盛り込まれているものの、中味のほうはWindowsのセキュリティを最近のLinuxと比較しながら真剣に論じたものだとAitelは述べている。

　「Microsoft Windows: A lower Total Cost of 0wnership」というタイトルのこの論文は、Microsoftが助成金を出している典型的な調査レポートの体裁を真似たものとなっている。こうした助成金付きの調査のなかには、企業アプリケーションのうち5件に4件はWindowsで実装したほうがコストが安いと主張するIDCのものや、ある方法で脆弱性の脅威を調べるとLinuxのほうがWindowsよりリスクが高いとするForresterのものなどがある。ただし、Forresterの調査については、使用されたデータに対して疑問の声が多く上がっていた。

　LinuxとWindowsを実際にハッキングした経験を持つ専門家が、両者のセキュリティの問題を検討した論文は、これまで発表されたことがなかった。

　Aitelはこの論文の結論として、Microsoftは2年以上にわたって「Trustworthy Computing」イニシアチブのもとでWindowsのセキュリティ向上に努めてきたが、それでもWindowsコンピュータのセキュリティは、最近のLinuxコンピュータと比べて、簡単に侵害できると指摘している。なお、Microsoftはこの論文に関するコメントを差し控えた。

　しかし、この論文には主張をサポートするデータがほとんど挙げられておらず、そのため長年続いているWindows対Linux論争に関して新たな見解を示しただけで、Microsoftに挑戦するものとなってはいない。

　Immunityの研究者らは、Red HatのLinux「Fedora Core 2」ディストリビューションとWindowsを比較し、両者のなかにある脆弱性を見つけるのに要する平均時間をデータに基づいて計算した。その結果Fedora Core 2では約6日と、Windowsの場合の2倍以上時間がかかることがわかった。この理由について、Immunityの研究者らはWindowsには欠陥を見つけるための良いツールがあることや、Linuxではカーネルレベルの防護機能が優れていること、Windowsのほうが攻撃用のコードを実行できる既知のポイントの数が多いことなどを挙げている。

　Microsoftは先ごろ、1年前に大流行したMSBlastワームへの対応措置として、Windows XPの大規模なセキュリティアップデートをリリースした。しかし、非実行可能フラグもしくは書き込み-XOR-実行ビットと呼ばれるPCプロセッサの主要なセキュリティ機能が普及するまでは、ほとんどのセキュリティホールが残ることになるとAitelは指摘する。このプロセッサの機能は、攻撃者によるコードを実行を防止するものだ。しかし、この技術を主要な製品に導入しているのは、いまのところAdvanced Micro Devices（AMD）だけである。なお、同社ではこの技術を「Enhanced Virus Protection（EVP）」と呼んでいる。