［世界］【Symantec調査】
ブラウザ・プラグインの脆弱性、79％は「ActiveX」絡み

脆弱なIE 6に加え、ファジング・ツールの存在も影響

（2008年04月14日）

　米国Symantecが年2回発行しているWebセキュリティ・リポート「Symantec Global Internet Security Threat Report Volume XIII」によると、2007年下半期にWebブラウザ・プラグインで見つかった脆弱性のうち、ActiveXにまつわるものが最も多くを占めたという。

　ActiveXは、主として「Internet Explorer（IE）」対応のアドオン・ソフトを開発するのに用いられるMicrosoftの技術。Symantecによると、2007年7月～12月に発見されたプラグインの脆弱性239件のうち、79％がこの技術に関係していたという。また、ActiveXに次いで脆弱性が多かったのはQuickTimeで、全体の8％を占めた。

　一方、同期間に「Firefox」用プラグイン（Mozillaはエクステンションと呼んでいる）で発見された脆弱性は1件のみで、昨年下半期に見つかったプラグイン脆弱性に占める割合は0.4％にすぎない。

　Symantecは、ActiveXコントロールの脆弱性が際立って多い理由の1つとして、コントロールの入力部分に含まれる脆弱性を探り出すのに使用可能な「ファジング」ツールが容易に入手できることを挙げている。

　またSymantecは、「多くのユーザーが脆弱なActiveXコントロールをインストールしていることに気づいていない。いったんインストールすると、削除したりパッチを適用したりするのも比較的難しい。それゆえActiveXは（クラッカーにとって）魅力的なターゲットになっている」と同リポートに記している。

　Symantecによると、ActiveXコントロールで発見される脆弱性の件数は、2006年にIE 7の出荷が始まってからもあまり変わらないという。ただしIE 7は、プラグインの不正使用を防ぐように設計されたセキュリティ機能を搭載しており、MicrosoftでもIE 6と比べ安全性が大幅に高まったと強調している。

　2007年下半期にSymantecが発見したActiveXの脆弱性は190件で、上半期の210件からおよそ10％減少した。同社では、「強化されたIE 7のセキュリティ機能が一定の効果を発揮しているのかもしれない。ただし“10％減”という数字は、IE 7にアップグレードしていない危険なユーザーがいまだ多く存在することを示唆している」と述べている。

　IE 7にアップグレードしていない企業ユーザーの危険性は、別の調査リポートからも伺い知ることができる。Forrester Researchが約5万人の企業IEユーザーを対象に調査したところ、2007年末時点でIE 7を使っていると答えたのはおよそ30％であり、残りの70％はIE 6を使っていた。

　こうした点を踏まえ、ActiveXが今も大きな問題になっていると、Symantecは警鐘を鳴らしている。「Microsoftは、Windowsや各種アプリケーションのセキュリティ改善に多大な努力を重ねてきた。にもかかわらず、ActiveXコントロールは依然としてWindowsプラットフォームの重大なセキュリティ・ホールであり続けている」（Symantecのリポートより）

　今年に入ってもActiveXの問題は改善されていない。今年2月、有名なActiveXコントロールにおいて一連の脆弱性が発見されたときは、米国コンピュータ緊急事態対策チーム（US-CERT）がIEのプラグインをすべて無効にするよう勧告する事態となった。

　一方、SymantecがActiveXに次いで問題の多いプラグインとして挙げたQuickTimeでは、2007年下半期中に19件の脆弱性が見つかった（上半期中に見つかった脆弱性は18件）。Appleは、今年1月以降3回パッチをリリースし、16件の不具合を修正したが、それによって状況が大きく改善されたとは言い難い。

　昨年下半期に脆弱性が見つかった上記以外のプラグインとしては、Sun MicrosystemsのJava（13件）、Adobe SystemsのFlash（11件）、MicrosoftのWindows Media Player（4件）、AdobeのAcrobat Reader（1件）がある。

(Gregg Keizer／Computerworld米国版)