［米国］
シマンテックが脅威リポートを発表──ブラウザのバグ発見件数が急増

（2006年09月26日）

　米国シマンテックは9月25日、同社が年2回出している「インターネットセキュリティ脅威リポート」の最新号を発表し、2006年上半期ではブラウザのバグ発見件数が急増したことを明らかにした。

　同リポートによれば、2006年上半期（1月1日～6月30日）にハッカーによって発見されたブラウザのバグは、モジラの「Firefox」などのオープンソース・ブラウザで47件、マイクロソフトのInternet Explorer（IE）で38件だった。そして、2005年下半期（7月31～12月31日）では、モジラのブラウザが17件、IEは25件であるため、前期と比較してバグの発見件数は急増しているとした。

　また、アップル・コンピュータのブラウザ「Safari」では、2005年下半期の6件から2006年上半期の12件と倍増した。シマンテックが調査したブラウザの中では、オペラソフトウェアの「Opera」だけが、9件から7件へとバグの発見件数が減少していた。

　最もねらわれやすいブラウザがシェアの高いIEであることに変わりないが、今日ではほかのブラウザも同様の危険にさらされていると言える。同リポートは、「2006年上半期に発生した攻撃の31％は複数のブラウザを標的にしており、そのうちの20％はモジラのFirefoxに対するものだった」と報告している。

　シマンテックのセキュリティ・レスポンス担当シニア・ディレクターであるビンセント・ウィーファー氏は、「安全なブラウザなどどこにも存在しない。何らかのブラウザを使用している場合は、適切な設定がされているかどうか、入念に確かめておく必要がある。有名ではないからという理由である種のブラウザを選択するより、こちらのほうがはるかに賢明な対策だ」とアドバイスする。

　同氏によれば、発見されるバグ件数が急増している背景には、「脆弱性市場」が成長がある。例えば、スリーコム傘下のティッピング・ポイントやベリサイン傘下のアイディフェンスといった企業は、脆弱性情報の提供に対価を支払っている。その一方で、悪用するために脆弱性情報をやりとりする“闇市場”も拡大しているようだ。同氏は、「脆弱性を発見して、ひともうけしようと考える風潮が定着し始めた。実際にかなりの数の人々がブラウザのバグを発見しようと躍起になっている」と語る。

　この点について、イーアイ・デジタル・セキュリティのCTO（最高技術責任者）であるマーク・メイフレット氏は、ブラウザのバグを発見し悪用するのは比較的簡単なのだと指摘する。「悪用をもくろむ者にとっては、企業や一般ユーザーのシステムに侵入し、情報などを盗もうとする場合、サーバの脆弱性をねらうよりも、デスクトップ上のアプリケーションをねらうほうが得策だ」（メイフレット氏）

　また、ウィーファー氏は、ブロードバンドに接続されている感染マシンの数が非常に多いことから、米国がオンライン攻撃の最大の源になっており、全オンライン攻撃のおよそ37％が米国で発生していると説明した。そして、リポートでは、攻撃の標的には、企業とコンシューマーの双方があるが、全攻撃の86％は後者をねらったものであると警告している。

　バグの発見件数を見るかぎり、モジラのブラウザには、IE以上にバグが存在している可能性がある。ただ、同社では、モジラのオープンソース・プロジェクトのバグ修復体制は高く評価できると述べている。例えば、Firefoxでは、バグの存在が明らかになってから、平均1日以内にパッチがリリースされており、ほかのメジャーなブラウザと比べても、対応の速さは抜きん出ている。次に高い評価を得たのがOperaで、平均対応日数は2日という結果だった。3番目はSafariの5日。マイクロソフトは、1件のパッチをリリースするのに平均で9日かかっており、4番目となった。

　ブラウザのパッチ・リリースでは後れを取ったマイクロソフトだが、同リポートでは、「オペレーティング・システムに関しては他の追随を許さない」と記している。なお、OSへの対応が最も遅いのは、サン・マイクロシステムズだった。

(ロバート・マクミラン／IDG News Service サンフランシスコ支局)