報告された弱点と実際のセキュリティはFirefoxの優位性を示している

Jay-Lyman(2005年9月23日(金))
シェア
Symantecが19日に発表したレポートによると、Internet ExplorerよりもMozillaブラウザのほうが弱点が多いという。Symantecの「Internet Security Threat Report」は、2005年の1月から6月までのセキュリティ動向を報告している。この期間、ベンダによって確認された弱点がFirefoxには25個あったのに対し、MicrosoftのInternet Explorerには13個しかなかったそうだ。

106ページから成るSymantecのレポートでは、ブラウザの弱点についての記述は僅かな部分を占めているにすぎない。しかし、業界紙はFirefoxの弱点がIEよりも多いというニュースを大きく取り上げていた。

Firefoxのほうが「報告された」弱点は多いかもしれないが、実際のエクスプロイトを見つけるのは難しい。Mozillaプロジェクトの製品ヘッドを務めるChris Beardは、Firefoxの弱点に対して実際に攻撃があったという話は聞いていないと言った。

Ken Dunham(Verisign iDefenseの上級技術者)によれば、これまでFirefoxの弱点を悪用したエクスプロイトとして知られているものは1つしかないという。

Dunhamからの電子メールには次のように書かれていた。「私の知る限り、これまで実環境で見つかったコードは1つだけで、それは流行度の低いコードだった」

iDefenseによると、そのコードはBoroBotワーム・ファミリのBoroBot.F変種であり、6月に「Michael Jacksonのソーシャル・エンジニアリング問題」として現れたもので、Firefoxの中程度の脆弱性を悪用しようとしていた。

Symantecのレポートでは次の点も認めている。「MicrosoftのInternet Explorer以外のブラウザで広範囲におよぶエクスプロイトはまだ発生していないが、代替ブラウザが普及するにつれて、この状況は変化するだろう」

生の数値

Beardは、Symantecの「生の数値(raw numbers)」に基づいた、Firefoxやその他のソフトウェアに固有のセキュリティについて疑問を投げかけた。

彼はインタビューの中で次のように語った。「もっと意味のある評価法を考えるなら、おそらく未パッチの弱点の数と修正までの期間に着目したほうがよいだろう。エンドユーザの安全を保つという点から見ると、こうした基準を導入したほうがずっと意味があるのではないか」

BeardはFirefoxの最新のセキュリティと安定版アップデート(バージョン1.0.7)に言及し、Firefoxの迅速な修正を可能にするのはオープンソースの透明性と研究者どうしの協力であると主張した。

「我々は技術的成果を効果的に公表している」と彼は言った。

Beardは、Firefoxにはより安全なアーキテクチャという遺産があることを付け加えた。Explorerの最大の弱点の1つを引き合いに出して、彼はこう言った。「我々がActive Xをサポートしていないことは、ユーザの安全を確保するうえで大きな強みになる」

LinuxであれWindowsであれ、オペレーティングシステムからブラウザを切り離すほうがセキュリティには有利だ、とDunhamも言っていた。

彼は次のように述べている。「それがFirefoxの大きな利点の1つである。Firefoxはコア・オペレーティングシステムやオフィス・パッケージと統合されたブラウザではない。Internet Explorerの場合は、この統合のせいで問題を分離するのが遥かに難しくなっている」

ベンダによる自己評価

弱点の数によるセキュリティの評価には、もう1つ問題点がある。それはSymantecのレポートがベンダによって確認された弱点を基にしていることだ。SymantecのDean Turner(レポートの編集主幹)は言う。「ベンダによって確認された弱点の問題点は、それらが変化し得ることだ」

彼は次のように付け加えた。「その好例がMicrosoftだ。彼らはその期間に弱点を認めないかもしれないからだ」

Turnerはさらに「弱点を公表するほどエクスプロイトも増えるだろうと考えるのは無理からぬことだ」と付け加えたものの、Firefoxなどのオープンソース・オプションのほうが依然として低リスクという強みを持っているとも言った。

「より重要なのが配布度であり、Internet Explorerが最も広く配布されている」と彼は言った。「テクノロジは普及するほど標的になりやすい。Microsoftは長年にわたって狙い撃ちされてきた。私が思うに、クローズドソースかオープンソースかはあまり関係がない。それよりも目立つかどうかが問題だろう」

迅速さによる安全確保

オープンソース組織のほうが弱点への対応が速いという点に異論を唱える人は少ないだろう。Dunhamも言うように、Firefoxはオペレーティングシステムや他のアプリケーションに縛られていないので、開発者が修正すべきコードの量が少なく、それがオープンソースの強みになっている。

「Mozilla Firefoxの場合、彼らはこれらのホールを素早く見つけられると私は思う」と彼は言った。「彼らが相手にしなければならないコードはとても少ないからだ」

SymantecのTurnerも、オープンソースのブラウザのほうが素早く修正されることを認めた。

彼は先週報告された弱点に対して24時間以内にFirefoxのパッチがリリースされたことを引き合いに出して、「オープンソースのブラウザのほうが素早く修正される傾向がある」と言った。「Internet Explorerでは、こうはいかない」

MozillaのBeardは、ユーザ数が増えるとFirefoxへの攻撃も増えるという考えに疑問を呈した。

「今のところ、その見方が正しいという証拠はない」と彼は言った。「そして我々はブラウザのセキュリティと安定性を高めるべく順調に滑り出しており、しかも需要に追いつこうとしている」

原文