シマンテック：「Mozillaブラウザの脆弱性、IEを上回る」

　Symantecが公表したレポートによると、Mozillaの開発するウェブブラウザのほうが、MicrosoftのInternet Explorer（IE）よりも、攻撃に悪用される可能性のある脆弱性が多いという。

　ただし、米国時間19日にリリースされたこのレポートから、ハッカーが依然としてIEに焦点を合わせていることもわかった。

　人気の高いFirefoxをはじめとするMozillaの各ブラウザは、一般的にセキュリティ関連の多くの問題を抱えてきたIEより安全だと見なされていた。Mozilla FoundationプレジデントのMitchell Bakerは今年に入って、Mozillaの各ブラウザのほうがIEより根本的に安全だと述べていた。同氏はまた、Mozillaの各ブラウザはマーケットシェアが拡大してもIEほど多くの問題に直面しない、との予測も示していた。

　だが、Symantecが発表した「Internet Security Threat Report Volume VIII」には、Bakerの認識と矛盾するデータが含まれている。

　同レポートによると、2005年上半期には、Mozillaブラウザで25件の脆弱性がベンダーによって確認され、公表されたという。これは「対象になったブラウザのなかで最も多い」と同レポートの著者は述べている。なお、これらの欠陥のうち18件は深刻なレベルに分類されるものだった。

　「同じ期間中、IEでは13件の脆弱性がベンダーによって確認されたが、そのうち8件は深刻なレベルに分類されるものだった」（同レポート）

　この期間中にIEとMozillaの各ブラウザに見つかった脆弱性の平均的な深刻度は「高」だった。Symantecの定義では、「悪用されるとシステム全体が危険にさらされるもの」が「高」レベルの脆弱性にあたる。

　Mozilla Foundationにコメントを求めたが、回答は得られなかった。

　Symantecのレポートによると、脆弱性の報告からエクスプロイトコードがリリースされるまでの平均日数は6日間にまで縮まったという。しかしこのレポートでは、MicrosoftやMozillaが脆弱性に対応したパッチをリリースするまでにかかった時間や、それらの脆弱性のうちハッカーに狙われたものがどれほどあったかについては明らかにされていない。

　Symantecは「レポート作成時点では、IE以外のブラウザで幅広く悪用されていたものはない」ことを認めながらも、「IE以外のブラウザの導入が進めば、こうした状況も変化すると思われる」と付け加えている。

　1つ注意が必要なのは、Symantecが、ベンダーの確認したセキュリティ上の欠陥しか統計に入れていない点だ。セキュリティ監視会社のSecuniaによると、Internet Explorerには未対応のセキュリティの問題が19件あったが、Firefoxではわずか3件だったという。

　また、Symantecのレポートでは、「外部と接続されるサーバやファイヤウォールなどの各種システム」のセキュリティがあまり重視されなくなってきた傾向も浮き彫りにされている。今後は「クライアント側--主にエンドユーザーのシステムが、悪質な行為のターゲットになっていく」（同レポート）という。

　このレポートによると、ウェブブラウザの脆弱性は、システムへの侵入口としてますます狙われるようになってきたという。また、ハッカーが売名目的から金銭目的で活動するようになってきている傾向があるほか、機密情報漏洩の可能性が拡大したことや、「悪質なコードの亜種が劇的に増加」していることも浮き彫りにされている。