優れたLinuxセキュリティ開発者は数多くおり、これらのバグを潰して回っている。ユーザーがバグを発見した場合には、それを報告するための手順も用意されている。しかし、プログラマーの数は不足しており、報告されたバグをすべて修正することさえできていない。
Linuxコミュニティのリーダーの1人であるJon「Maddog」Hall氏は、数年前に次のように述べている。フリーソフトウェア界には、「『無限』のリソースがあると主張する人もいる。だがあらゆる製品やプロジェクトは、何らかの理由でリソースに限界がある。フリーソフトウェア、そして特定のソフトウェアに取り組める人間の数は、十分なスキルや時間、貢献する意向を持った人に限られる。しかしフリーソフトウェアでは、開発者にバグを修正する時間や意向がない場合でも、切迫した状況であれば、エンドユーザー自身が自らのリソースで問題を修正し、作成したバグフィックスのエスカレーションを行うことができる」
同氏がこう書いたのは、まだ多くのLinuxユーザーがプログラマーだった2009年のことだ。だが、もはや状況は変わっている。確かにLinuxを使っている開発者は多いが、今やJavaとJavaScriptの違いも理解できず、バグの修正など考えたこともない、単なる「ユーザー」が非常に多くいる。
その一方で、ハッカーがLinuxを攻撃しようとする理由は、これまでになく増えている。最近、デスクトップ版Ubuntuに2件のバグを発見した、アイルランドの開発者Donncha O'Cearbhaill氏は、これらの「Apport」のバグに関する情報の提供に、1万ドル以上の対価を提示されたと報告している。「ソフトウェアがより安全になり、バグの発見が難しくなるにつれて、こういった経済的な誘惑は大きくなっている」と同氏は述べている。
これは金額としては小さい方だ。もし、例えばサーバ上のデータを暗号化できるLinuxのバグを発見できれば、10万ドル単位の身代金を要求できるランサムウェア(データを暗号化して読めなくしておき、復号化する鍵と引き換えに支払いを要求するマルウェア)を容易に想像できる。IBM Securityが最近行った調査によれば、ランサムウェアの被害を受けた企業の70%近くが、データを取り戻すために、攻撃者に身代金を払っているのが現状だ。
巨額の利益を得られる可能性がある以上、Linuxはこれまで以上にハッキングの対象になるだろう。Linuxは大きな成果を上げているが、その結果、開発者やベンダーがさらに一歩進んで、セキュリティを維持するための大きな責任を負う必要が生まれている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
