米Symantecが脅威リポートを発表──ブラウザのバグ発見件数が急増
同リポートによれば、2006年上半期(1月1日〜6月30日)にハッカーによって発見されたブラウザのバグは、Mozillaの「Firefox」などのオープンソース・ブラウザで47件、MicrosoftのInternet Explorer(IE)で38件だった。そして、2005年下半期(7月31〜12月31日)では、Mozillaのブラウザが17件、IEは25件であるため、前期と比較してバグの発見件数は急増しているとした。
また、Apple Computerのブラウザ「Safari」では、2005年下半期の6件から2006年上半期の12件と倍増した。Symantecが調査したブラウザの中では、Opera Softwareの「Opera」だけが、9件から7件へとバグの発見件数が減少していた。
最もねらわれやすいブラウザがシェアの高いIEであることに変わりないが、今日ではほかのブラウザも同様の危険にさらされていると言える。同リポートは、「2006年上半期に発生した攻撃の31%は複数のブラウザを標的にしており、そのうちの20%はMozillaのFirefoxに対するものだった」と報告している。
Symantecのセキュリティ・レスポンス担当シニア・ディレクターであるビンセント・ウィーファー氏は、「安全なブラウザなどどこにも存在しない。何らかのブラウザを使用している場合は、適切な設定がされているかどうか、入念に確かめておく必要がある。有名ではないからという理由である種のブラウザを選択するより、こちらのほうがはるかに賢明な対策だ」とアドバイスする。
同氏によれば、発見されるバグ件数が急増している背景には、「脆弱性市場」が成長がある。例えば、3Com傘下のTippingPointやVerisign傘下のiDefenceといった企業は、脆弱性情報の提供に対価を支払っている。その一方で、悪用するために脆弱性情報をやりとりする“闇市場”も拡大しているようだ。同氏は、「脆弱性を発見して、ひともうけしようと考える風潮が定着し始めた。実際にかなりの数の人々がブラウザのバグを発見しようと躍起になっている」と語る。
この点について、eEye Digital SecurityのCTO(最高技術責任者)であるマーク・メイフレット氏は、ブラウザのバグを発見し悪用するのは比較的簡単なのだと指摘する。「悪用をもくろむ者にとっては、企業や一般ユーザーのシステムに侵入し、情報などを盗もうとする場合、サーバの脆弱性をねらうよりも、デスクトップ上のアプリケーションをねらうほうが得策だ」(メイフレット氏)
また、ウィーファー氏は、ブロードバンドに接続されている感染マシンの数が非常に多いことから、米国がオンライン攻撃の最大の源になっており、全オンライン攻撃のおよそ37%が米国で発生していると説明した。そして、リポートでは、攻撃の標的には、企業とコンシューマーの双方があるが、全攻撃の86%は後者をねらったものであると警告している。
バグの発見件数を見るかぎり、Mozillaのブラウザには、IE以上にバグが存在している可能性がある。ただ、同社では、Mozillaのオープンソース・プロジェクトのバグ修復体制は高く評価できると述べている。例えば、Firefoxでは、バグの存在が明らかになってから、平均1日以内にパッチがリリースされており、ほかのメジャーなブラウザと比べても、対応の速さは抜きん出ている。次に高い評価を得たのがOperaで、平均対応日数は2日という結果だった。3番目はSafariの5日。Microsoftは、1件のパッチをリリースするのに平均で9日かかっており、4番目となった。
ブラウザのパッチ・リリースでは後れを取ったMicrosoftだが、同リポートでは、「オペレーティング・システムに関しては他の追随を許さない」と記している。なお、OSへの対応が最も遅いのは、Sun Microsystemsだった。
(ロバート・マクミラン/IDG News Service サンフランシスコ支局)
提供:Computerworld.jp
