Googleは米国時間7月7日、Googleの「Native Client」テクノロジのセキュリティ向上を目指して行われたバグ発見コンテストで、2名のセキュリティ研究者が優勝し賞金を分け合うと発表した。
このテクノロジは、ウェブベースのアプリケーションがコンピュータの処理能力を利用してネイティブコードを実行できるようにするためのもので、そのコードの中に、2人は多くのバグを発見した。にもかかわらず、優勝者の1人は、このテクノロジは導入されるときには安全になっているだろうと予想している。
IBM Internet Security SystemsでX-Forceのリサーチエンジニアを勤めるMark Dowd氏は次のように語る。「実装の品質はかなり優れていた。誰でもそこかしこで少しばかりミスを犯すもので、こうしたミスを排除するのがこのコンテストの目的だった」
GoogleのNative Client担当エンジニアリングマネージャーBrad Chen氏は、Dowd氏と同氏のパートナーであるBen Hawkes氏がセキュリティの脆弱性を最も数多く発見し、さらに参加者から報告され有効であると認められた合計22個のバグの中で最も重大なバグを発見したと述べた。Hawkes氏はニュージーランドの独立したセキュリティ研究者だ。
Chen氏によると、これらのバグのうち重大なものによって、例えば攻撃者はNative Clientテクノロジ内部のサンドボックスを完全に無力化できる可能性があったという。
Dowd氏は次のように述べる。「これが実際に運用されているウェブサイトで利用可能になっていたとしたら、こうした脆弱性の一部を利用して攻撃し、システムを完全に制御することができただろう。(しかし、)これはプロダクションリリースではないため、現時点では攻撃できる巨大なユーザーベースは存在しない」
「Native Clientテクノロジを大々的に発表する前に、Googleがさらにいくつかの機能を盛り込みたいと思っているのは分かっているが、中核技術自体がかなり興味深いものだ。このままセキュリティを重視し続ければ、安全なやり方でインターネット上に展開できると思う」(Dowd氏)
Native Clientテクノロジは2008年12月に研究プロジェクトとして発表され、2009年6月に開発プラットフォームに昇格した。このテクノロジは、コンピュータにインターネットからダウンロードしたウェブアプリケーションをプロセッサ上で直接、それもコンピュータにインストールされた「ネイティブ」ソフトウェアのスピードで実行させようとするものだ。
Flash、JavaScript、ActiveXのような現在のウェブアプリケーションのプログラミング環境では、限られた処理能力しか提供されず、それぞれの環境が、攻撃される可能性のある実装上の脆弱性を経験してきた。
GoogleはNative Clientにおいて、比較的新しい手法によってセキュリティの新しい課題とパフォーマンスの向上のバランスをとるという課題に直面している。静的解析と呼ばれるこの手法では、ソフトウェアの実行前にスクリーニングを行い、禁止されたあらゆる危険なアクションをソフトウェアが実行しないことを確認する。
Chen氏は、Googleは2009年末までにNative Clientを「Google Chrome」ブラウザに統合する予定で、そうなればより幅広い開発者コミュニティーにこれが開放されると語る。
このコンテストは2月に発表され、約600名が参加し、専門家9名から成る審査団によって審査された。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス