Webブラウザが悪意を持つハッカーの格好の標的となっていることはよく知られているが、実はアップルの「QuickTime」は、攻撃を招く可能性がInternet Explorer（IE）6よりも3倍、Firefoxよりも6倍高い――。デンマークの脆弱性調査会社セキュニアが先週発表したリポートで明らかになった。

　QuickTimeのリスクが大きいのは、パッチの適用を怠っているユーザーが多いことが原因と見られる。

　セキュニアが過去6カ月間に同社の無料ソフトウェア「Secunia Software Inspector」を用いて35万台以上のシステムをチェックしたところ、QuickTime 7がインストールされたシステムのうち、最新のセキュリティ・パッチが適用されていないものが33.1％に上ったという。ちなみに、時代遅れになりつつあるAOLの音楽プレーヤー「Winamp 5」の場合、この数字は27％だった。

　QuickTimeやWinampに比べて、マイクロソフトのIE 6やモジラのFirefoxは、パッチの適用という点では優れたモデル・ケースだと、セキュニアは述べている。IE 6がインストールされたシステムでは、パッチの適用漏れが1つか2つあるものは9.6％にとどまり、Firefox 2がインストールされたシステムでは、最新パッチの適用が必要なものは5.2％しかなかった。

　こうした違いの原因は比較的わかりやすい。ユーザーは、Webブラウザにセキュリティ・ホールが頻繁に見つかることを知っており、Webブラウザをまめに更新することは、特にマイクロソフト製品の場合、ユーザーの間で習慣としてかなり定着しているからだ。

　今回のセキュニアの調査結果は、ユーザーがOSとWebブラウザ以外については、定期的にパッチを適用することを怠っていることを示している。

　セキュニアの開発担当マネジャー、ジェーコブ・ボール氏は、Secunia Software Inspectorによるチェック結果の詳細を紹介したブログ記事の中で、「深刻な状況だ」と指摘している。

　「ほとんどの人は、.mpgや.jpg、.mov、.mp3ファイルが少しでも面白そうに思えたら、ためらわずに開いてしまう。例えば、ホームページにムービーを埋め込むのは簡単に行える。パッチが当たっていないQuickTimeの脆弱性が1つでもあれば、ビデオに興味をそそるタイトルを付けるだけで、多くの訪問者に攻撃を仕掛けることができる」（ボール氏）

　QuickTimeとWinampは、専門家によって脆弱性がしばしば発見されている。セキュニアのデータベースにはQuickTime 7のバグが10件登録されており、その3件は今年に入って見つかったものだという。直近のパッチは、約3週間前に公表された欠陥を修正するもので、5月1日に公開された。一方、Winamp 5には11件の脆弱性があり、その最新のものは同じく今月に修正されている。

　ボール氏は、ビジネス用のコンピュータを対象に未パッチのアプリケーションを調査した結果から明らかになったユーザー行動は、消費者が使うコンピュータの調査結果と同様だと語る。

　「脆弱性につけ込むコードは、メディア・プレーヤーよりも業務用のソフトウェアやデバイスの欠陥を悪用する傾向がある。だが、全体的に、ビジネス・ユーザーの場合も消費者の場合も、OSやWebブラウザ、マイクロソフトのアプリケーションは、かなり定期的に更新されているが、他のアプリケーションは忘れられがちで、軽視されている場合が多い」

　この問題の一因は、多くのアプリケーション・ベンダーが、セキュリティ更新メカニズムを製品に組み込んでおらず、脆弱性の深刻さを認識することから、パッチを検索／ダウンロードしてインストールすることまでを、ユーザー任せにしていることにありそうだ。

　また、ベンダーがパッチ作業の自動化機能を用意していたとしても、更新が不定期に行われていたり、頻繁が十分に行われていなかったりという面もある。ちなみに、Windows用のQuickTimeアップデータは、デフォルトでは更新チェックを毎週行うようになっている。

　セキュニアは、Secunia Software Inspectorを無料提供するとともに、サーバ版の「Network Software Inspector」を有料で販売している。