［米国］
Safariに新たな脆弱性――反マルウェア団体がアップルに改善を要求

「セキュリティ問題ではない」としてアップルは対応を先送り

（2008年05月22日）

　マルウェア対策を推進する米国の非営利団体StopBadware.orgは5月19日、Webブラウザ「Safari」のエクスプロイト対策を強化し、悪意あるコードのダウンロード防止策を講じるよう米国Appleに対して要望書を提出した。

　StopBadware.orgは、米国Google、中国Lenovo Group、米国Sun Microsystemsが設立した非営利団体である。今回の要望は、Safariで新たに見つかった脆弱性に対し、セキュリティ問題として対応することを拒否したAppleに再考を求める内容となっている。

　StopBadware.orgでは、Webサイトに掲載した要望書の中で、「われわれは、PCにダウンロードするソフトウェアをユーザーがきちんと管理できるようにすることが必要であると考えており、Appleに対しては自分たちのスタンスを見直し、この件をセキュリティ問題として対処するよう求めている」と述べている。

新たな脆弱性が発見されたAppleのWebブラウザ「Safari」

　Safariの新たな脆弱性は、セキュリティ研究者であり「Network Security Tools」の共同執筆者でもあるニテシュ・ダーンジャーニ（Nitesh Dhanjani）氏が1週間ほど前に明らかにした。同氏は先週、Safari経由で多くのユーザーに被害が及ぶ攻撃が行われる危険性を自身のブログで指摘した。

　Dhanjani氏によると、Safariの脆弱性を突く攻撃は、ファイルをダウンロードする際にユーザーの許可を求めるオプションが用意されていない点につけ込んで実行されるという。攻撃が行われた場合、悪意のあるWebサイトの不正なコードがユーザーのデスクトップ・マシンに自動的にダウンロードされてしまう。

　Dhanjani氏は、Appleのセキュリティ・チームが同氏の問い合わせにすばやく対応したことを評価しながらも、同社がこの攻撃を防ぐためのアップデートを先送りしたことに疑問を呈している。

　ファイルのダウンロード実行前にユーザーに許可を求める設定をSafariに追加するようDhanjani氏が勧告したのに対し、Appleのセキュリティ・グループからは、「提案はすばらしいものであり、機能強化リクエストの形でSafariチームに回す予定」という返答があっただけだという。

　この件はセキュリティ上、さほど問題ではないというのがAppleの見解だ。Appleは、「当社はこの件をセキュリティ問題として扱っていないことに留意してほしいが、ユーザーの望まないファイルがダウンロードされてしまうのを防ぐ対策を、今後はさらに強化していく」と述べている。

　米国MicrosoftのInternet Explorer（IE）やMozillaのFirefoxといったWebブラウザには、一部あるいはすべてのファイル・タイプについて、ダウンロード実行前にユーザーの許可を求めるオプションが搭載されている。

　StopBadware.orgは、「Dhanjani氏の分析が正しければ、Appleが『ユーザーの望まないダウンロード』と呼んでいる問題は、ユーザーを欺いて悪意のあるファイルを実行させるという点で、深刻なセキュリティ上の脅威である」と指摘している。

　StopBadware.orgは、これまでもAppleの姿勢を厳しく批判してきた。今年3月、AppleがSafari 3.1をWindowsユーザーに配布するためにソフトウェア・アップデート・ユーティリティを使い始めた際には、StopBadware.orgがいち早く注意を喚起し、通常の手続きに従って、このユーティリティに対する“badware”警報を出すとApple側に通告した。

　このときは、警報を出す前日に問題のユーティリティをAppleが変更し、すでにインストールされているプログラムへのアップデートと新しいソフトのインストールとを分ける措置を取った。

　なお、記事執筆にあたり、Safariへのユーザー承認オプションの追加を見送った判断についてAppleへコメントを求めたが、回答は得られなかった。

(Gregg Keizer／Computerworld米国版)