★阿修羅♪ 現在地 HOME > 掲示板 > IT5 > 733.html
 ★阿修羅♪
次へ 前へ
US-CERT「IEの乗り換え」を勧める警告で、『Mozilla』ユーザーが急増【1日に過去最高、通常1日約10万件が、
http://www.asyura2.com/0401/it05/msg/733.html
投稿者 クエスチョン 日時 2004 年 7 月 07 日 06:50:21:WmYnAkBebEg4M
 

(回答先: モジラ、オペラ、アップルらが提携――ActiveXに対抗する新技術開発へ【IT_Media記事】 投稿者 クエスチョン 日時 2004 年 7 月 07 日 06:45:15)

US-CERT「IEの乗り換え」を勧める警告で、『Mozilla』ユーザーが急増【1日に過去最高、通常1日約10万件が、20万件超え】
http://hotwired.goo.ne.jp/news/news/technology/story/20040705302.html

Michelle Delio


2004年7月2日 2:00am PT  ハッカーたちは以前から、米マイクロソフト社のブラウザー『Internet Explorer』(IE:インターネット・エクスプローラ)を使わないことが、インターネットに潜むセキュリティー上の脅威の多くからコンピューターを守る、最も容易な手段の1つだと主張してきた。

 だが通常、こうした忠告に関心を示す人は少なく、注目されても単なるマイクロソフト社たたきとして非難されるだけだ――たしかに、ハッカーのコミュニティーでは、同社へのバッシングは珍しいものではない。

 ところが、6月24日(米国時間)に、やはりマイクロソフト社製品のウェブサーバー・ソフトウェア『インターネット・インフォメーション・サービス』(IIS)に悪質なコードを仕掛け、サイトにアクセスしたIEにコードを実行させる新たな攻撃の発生が確認されたときには、いつもは落ち着き払っている米政府と民間組織の共同対策機関『米国コンピューター緊急事態対応チーム』(US-CERT)がその翌日に警告を発表した。その内容は、IEが使用する技術には「重大な脆弱性」が存在するため、IEユーザーは別のウェブブラウザーに乗り換えることを強く勧めるというものだ。

 マイクロソフト社のウィンドウズ顧客グループ責任者、ゲリー・シェアー氏は、US-CERTの勧告について、多くの報道が誤解して伝えていると指摘する。

 「当社はもちろん、CERTがインターネットとユーザーを守るために行なっている活動を尊重している。しかし、ユーザーがブラウザーを乗り換えるという話については、残念ながら、CERTの勧告が誤って報道されているように思う。当社は現在、勧告の内容を明確にすべく、CERTと作業を進めているところだ」とシェアー氏は述べた。

 しかし、多くの人がUS-CERTの警告を真剣に受け止めたようで、『Mozilla.org』が開発、配布しているオープンソースの無料ブラウザー『Mozilla』(モジラ)と『Firefox』(ファイアーフォックス)をダウンロードする人が続出している。Mozilla.orgは、米ネットスケープ・コミュニケーションズ社が1999年に米アメリカ・オンライン(AOL)社に買収された後、そのブラウザー開発を引き継いでいる。

 MozillaとMozillaの改良版であるFirefoxのダウンロード数は、US-CERTが警告を出した6月25日に急増し、その後も需要は伸び続けている。『モジラ財団』の技術責任者、クリス・ホフマン氏によると、両ブラウザーのダウンロード数は今月1日に過去最高を記録し、通常なら1日に約10万件のところが、この日は20万件を超えたという。モジラ財団は昨年7月に設立された組織(日本語版記事)で、Mozilla.orgによるウェブ・アプリケーションの開発、配布、導入を支援している。

 US-CERTの警告は、Mozilla.orgチームにとって意外ではなかったと、ホフマン氏は話す。

 「MozillaとFirefoxのダウンロード数は昨秋から安定して伸びており、Firefoxのユーザーは数ヵ月ごとに倍増している。おそらく、IEやウィンドウズの問題に対処し続けることにもう耐えられなくなり、Mozilla.orgのソフトウェアを使えば問題が解消されると気づく人が増えているのだろう。今回のUS-CERTの提案は、われわれがしばらく前から目にしていた傾向を反映したものに過ぎない」とホフマン氏。

 複数のセキュリティー専門家によると、Mozilla.orgのブラウザーがIEより安全なのは、『ActiveX』(アクティブX)をサポートしていないためだという。ActiveXは本来、ウェブサイトにマルチメディア機能や双方向性を持たせることを目的としたものだが、最近では、ユーザーが知らないうちに、あるいは明確な同意をしないうちに、パソコンにスパイウェアを忍ばせる目的に使用されることが増えている。

 「ActiveXを使えば、さまざまなプログラムをブラウザー上で動かせる。IEユーザーのほとんどがこれを初期設定のまま有効にしておくため、ActiveXは大きなセキュリティー問題となっている」と語るのは、スペインのセキュリティー・ソフトウェア企業、パンダ・ソフトウェア社のパトリック・ヒノホサ最高技術責任者(CTO)。

 「だが一方で、IEにはActiveXとはまったく関係のない脆弱性もある」と、ヒノホサCTOは指摘する。「ここ1年ほどの間に公開されただけでも、IEのパッチは相当な数にのぼる」

 ActiveXだけが問題ではないという点については、ホフマン氏も同じ意見だ。ホフマン氏はさらに、IEとウィンドウズ・オペレーティング・システム(OS)が強固に統合されていること、そして、IEとMozilla.orgのブラウザーではセキュリティー関連のデフォルト設定が違うし、アーキテクチャーも異なることを指摘し、こうした点もMozilla.orgのブラウザーの方が安全な理由だと述べた。

 「ブラウザーとOSの強固な統合は、ウィンドウズの開発者とユーザーにある程度の利便性と力を与えてくれる。だが反面、その利便性と力こそが、悪意あるハッカーに利用され、攻撃に使われるポイントとなっていることも事実だ」

 「ここで言う利便性の大半は、保護機能のデフォルト設定に起因するものだ。デフォルトでは、実行可能なプログラムをダウンロード、インストールして実行するさい、ユーザーには通知されず、ユーザーが介入する余地はない」とホフマン氏。

 これに対し、Mozilla.orgのブラウザーでは、実行可能なコードのダウンロードやインストール、実行、その他の危険を伴う操作を行なうとき、常にユーザーがその事実を認識し、明確な同意を示すことが求められる。それだけなら、適切にパッチを当てたIEでも同じように機能するが、Mozilla.orgのブラウザーはさらに、自動化された攻撃を阻止し、悪意あるコードの実行を防ぐこともできる。こうした機能があるおかげで、MozillaとFirefoxは、IEユーザーを悩ませる問題の多くと無縁でいられるのだ。

 しかし、セキュリティー専門家の中には、Mozilla.orgのセキュリティー上の最大の利点は、まだあまり普及していないことだと指摘する声もある。

 「あるブラウザーが安全性において本質的に他のブラウザーより優れていても、さほど重要な問題ではない。むしろ、IEのユーザーが非常に多いという事実のほうが重要だ」と、ウイルス対策ソフトメーカーの英ソフォス社でセキュリティー・コンサルタントを務めるキャロル・テリオ氏は話す。

 「マイクロソフト社が標的にされるのは、彼らが大きな成功を収めているためだ。この先も困難は続くだろう。全世界のコンピューターの約90%がマイクロソフト社のOSを搭載している。こうした均質な環境は、何か衝撃的なことを引き起こしたいと考えるサイバー犯罪者たちにとって魅力的だ」とテリオ氏。

 ホフマン氏はまた、オープンソースの開発モデルを採用している点も、Mozilla.orgのブラウザーがセキュリティー面で成功している一因だと指摘した。

 Mozilla.orgのアプリケーションに変更を加えるときはまず、そのシステムのコードとアーキテクチャー全体に精通した2人以上の技術者がピアレビューを実施する。それを経て初めて、新しいコードが製品に盛り込まれる。次に製品は一連の自動テストと評価を受け、その後、ユーザーや開発者コミュニティーが、1日に2、3度更新されるテスト版をダウンロードし、1つ1つの変更がおよぼす影響を評価する。

 「コミュニティーにはあらゆる層のハッカー――パソコンの得意な中学生から大学院生、さらにはMozilla.orgの技術を導入・利用している企業で働くベテラン技術者まで――がおり、それぞれが製品のコードを入手して研究と改良にいそしんでいる」とホフマン氏。

 マイクロソフト社のシェアー氏によると、同社もIEのセキュリティーを向上させる努力を続けており、セキュリティーを最優先課題にしているという。

 この夏後半にリリース予定の『ウィンドウズXP』向けアップグレード『サービスパック2』(SP2)では、セキュリティー・インフラストラクチャーの強化により、特定の種類の攻撃に対するパソコンの脆弱性が減少する見込みだと、シェアー氏は述べている。また、新たにポップアップ・ブロッカーとダウンロード監視ツールを追加して、ユーザーが望まない、あるいは悪意の可能性があるコンテンツの表示やプログラムのダウンロードをできるだけ減らすという。

 「先週見つかった、IISを用いた攻撃の問題については、当社がサポートしているIEの全バージョンに対応した包括的な修正プログラムを提供すべく、目下全力をあげている。徹底的なテストを行ない、当社がサポートするIEのあらゆるバージョンと設定に効果があることを確認ししだい、ただちに公開する予定だ。それまでの間、顧客には、問題の影響を抑えるための手立てを記したガイダンスを参考にしてほしい」とシェアー氏は述べた。


[日本語版:米井香織/高橋朋子]


日本語版関連記事

・MS、IE向けのセキュリティー・アップデートを暫定公開

・米大統領戦、両陣営公式ウェブサイトにセキュリティー問題

・アップル、セキュリティー上の優位を強調

・MSソフトの「単一栽培」はウイルスへの抵抗力を弱めているか

・MS、「緊急」レベルのセキュリティーホールを半年遅れで公表

・優れたフリーウェアでコンピューターを護ろう

・AOLから独立した『モジラ財団』、IEに挑む

 次へ  前へ

IT5掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。