【 ここから本文 】

PC/クライアント

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

[世界] 【Symantec調査】
ブラウザ・プラグインの脆弱性、79%は「ActiveX」絡み

脆弱なIE 6に加え、ファジング・ツールの存在も影響

(2008年04月14日)

 米国Symantecが年2回発行しているWebセキュリティ・リポート「Symantec Global Internet Security Threat Report Volume XIII」によると、2007年下半期にWebブラウザ・プラグインで見つかった脆弱性のうち、ActiveXにまつわるものが最も多くを占めたという。

 ActiveXは、主として「Internet Explorer(IE)」対応のアドオン・ソフトを開発するのに用いられるMicrosoftの技術。Symantecによると、2007年7月〜12月に発見されたプラグインの脆弱性239件のうち、79%がこの技術に関係していたという。また、ActiveXに次いで脆弱性が多かったのはQuickTimeで、全体の8%を占めた。

 一方、同期間に「Firefox」用プラグイン(Mozillaはエクステンションと呼んでいる)で発見された脆弱性は1件のみで、昨年下半期に見つかったプラグイン脆弱性に占める割合は0.4%にすぎない。

 Symantecは、ActiveXコントロールの脆弱性が際立って多い理由の1つとして、コントロールの入力部分に含まれる脆弱性を探り出すのに使用可能な「ファジング」ツールが容易に入手できることを挙げている。

 またSymantecは、「多くのユーザーが脆弱なActiveXコントロールをインストールしていることに気づいていない。いったんインストールすると、削除したりパッチを適用したりするのも比較的難しい。それゆえActiveXは(クラッカーにとって)魅力的なターゲットになっている」と同リポートに記している。

 Symantecによると、ActiveXコントロールで発見される脆弱性の件数は、2006年にIE 7の出荷が始まってからもあまり変わらないという。ただしIE 7は、プラグインの不正使用を防ぐように設計されたセキュリティ機能を搭載しており、MicrosoftでもIE 6と比べ安全性が大幅に高まったと強調している。

 2007年下半期にSymantecが発見したActiveXの脆弱性は190件で、上半期の210件からおよそ10%減少した。同社では、「強化されたIE 7のセキュリティ機能が一定の効果を発揮しているのかもしれない。ただし“10%減”という数字は、IE 7にアップグレードしていない危険なユーザーがいまだ多く存在することを示唆している」と述べている。

 IE 7にアップグレードしていない企業ユーザーの危険性は、別の調査リポートからも伺い知ることができる。Forrester Researchが約5万人の企業IEユーザーを対象に調査したところ、2007年末時点でIE 7を使っていると答えたのはおよそ30%であり、残りの70%はIE 6を使っていた。

 こうした点を踏まえ、ActiveXが今も大きな問題になっていると、Symantecは警鐘を鳴らしている。「Microsoftは、Windowsや各種アプリケーションのセキュリティ改善に多大な努力を重ねてきた。にもかかわらず、ActiveXコントロールは依然としてWindowsプラットフォームの重大なセキュリティ・ホールであり続けている」(Symantecのリポートより)

 今年に入ってもActiveXの問題は改善されていない。今年2月、有名なActiveXコントロールにおいて一連の脆弱性が発見されたときは、米国コンピュータ緊急事態対策チーム(US-CERT)がIEのプラグインをすべて無効にするよう勧告する事態となった。

 一方、SymantecがActiveXに次いで問題の多いプラグインとして挙げたQuickTimeでは、2007年下半期中に19件の脆弱性が見つかった(上半期中に見つかった脆弱性は18件)。Appleは、今年1月以降3回パッチをリリースし、16件の不具合を修正したが、それによって状況が大きく改善されたとは言い難い。

 昨年下半期に脆弱性が見つかった上記以外のプラグインとしては、Sun MicrosystemsのJava(13件)、Adobe SystemsのFlash(11件)、MicrosoftのWindows Media Player(4件)、AdobeのAcrobat Reader(1件)がある。

(Gregg Keizer/Computerworld米国版)

関連記事

▲ページの先頭へ戻る

注目のリポート/ホワイトペーパー

フレームワーク化されたサプライ・チェーン・プロセスを導入すれば、ビジネス・パフォーマンスはさらに向上する

フレームワーク化されたサプライ・チェーン・プロセスを導入すれば、ビジネス・パフォーマンスはさらに向上する

企業の持続的な成長のためには、サプライ・チェーンの最適化が不可欠

調達から支払いまでのプロセスを“見える化”し、財務サプライチェーンを合理化する

調達から支払いまでのプロセスを“見える化”し、財務サプライチェーンを合理化する

現在のプロセス状況を可視化し、改善ポイントを見つけることがカギ

分散環境におけるファイル管理をいかに効率化するか

分散環境におけるファイル管理をいかに効率化するか

ファイル仮想化、レプリケーションで実現。統合されたデータ管理基盤の構築方法とは?

Windows Server 2008 対応製品(ソフトウェア関連)

SOA/BPM 関連製品

注目のトピック

ワークスタイル革新[New]
業務生産性の向上とワーク・ライフ・バランスの実現を目指して
事業継続マネジメント(BCM/DR)[Update]
万全のBC/DR基盤を構築し企業の信頼を高める
マルチコア・コンピューティング[Update]
ITインフラを最適化しパワーを最大限に生かす
グリーンITの戦略的価値
“環境マネジメント”の視点でITを最適化する
仮想化の“真実”
IT革命を支えるテクノロジー
データセンター革新
次世代ITインフラをいかに構築すべきか
ビジネス・インテリジェンス最新事情
組織と“個”の知的生産性を高める
セキュリティ・マネジメント[戦略と実践]
内外の脅威から企業を守る
Windows Server 2008 World
新世代プラットフォームの実力を探る
コンプライアンス総点検
法令順守の実態を把握し、万全の対策を!
SOAがITを変える
企業はどう備えるべきか
ITIL活用最前線
ITILでビジネスとITを変える
データ・マネジメント
新時代の情報/データ管理基盤を構築するために

Weekly Ranking

集計期間:11/16〜11/22

トピック一覧

ニュース特集

セキュリティ

ソフトウェア&サービス

経営/業務改革

ITマネジメント

データ・マネジメント

プラットフォーム

IT基盤技術

ハードウェア

ネットワーキング

トレンド

IT業界動向

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国