logo

再注目される「Google Chrome」のセキュリティ--「Chrome OS」を支える技術を探る - (page 3)

文:Elinor Mills(CNET News) 翻訳校正:川村インターナショナル2009年07月29日 07時30分
  • このエントリーをはてなブックマークに追加

 Googleの調査によれば、インターネットユーザーの45%以上がウェブブラウザの最新バージョンを使用していないという。このことを考えると、自動更新のニーズは大きいように思われる。

 「われわれの理念は、ユーザーが注意を払う必要をなくし、ユーザーの代わりにすべてが自動的に機能し続けるようにすることだ」(Fette氏)

 2008年9月に最初にリリースされたとき、Chromeには悪用可能な脆弱性が2つあった。Googleはこれに対応するパッチを24時間以内にリリースしたと同氏は述べている。

 「エンドユーザーには、ソフトウェアの更新を拒否するか受け入れるかは分からない。Chromeでは強制的に更新する。これは、ユーザーにセキュリティが不十分な選択をさせないという良い例だ」(Hoffman氏)

 しかし、選択できることを求める人たちもいる。Fette氏によると、ソフトウェア更新を自分で管理したいIT管理者向けに、Googleは最近、Chromeの更新をいつどのように行うかを企業がカスタマイズできるオプションを追加したという。

 先週、Chromeの最新のセキュリティパッチがリリースされた。Milw0rmサイトの統計によると、Chromeには2008年に14件の脆弱性があったとWood氏は指摘している。しかし、Chromeの脆弱性やパッチの数をIEやFirefoxのものと比べるのは困難だと同氏は言う。なぜなら、Chromeはユーザー数がはるかに少なく、そのため攻撃者から標的にされにくいからだ。

ユーザーをだます攻撃

 Chromeは、攻撃者がセキュリティホールを通じてコードを盗み出し、コンピュータにマルウェアをインストールしたりコードを実行したりする脆弱性の悪用に対する保護については優れている、と専門家は評している。しかし、クロスサイトスクリプティング、クロスサイトフォージェリ、SQLインジェクション、フィッシング(攻撃者がブラウザを介してユーザーをだまして意図しないことをさせる攻撃)といったウェブベースの攻撃からの保護という点では、それほどではないという。

 「Googleがこれまであまり注力してこなかった領域で今後取り組む必要があるのは、ユーザーセキュリティなどの領域だ」(Wood氏)

 Chromeでは、Firefoxでサポートされているような、ウェブサイトに隠れている悪質なスクリプトに対して防御するプラグインがサポートされていない。例えば、ユーザーがサイト上のどのスクリプトを実行し、どのスクリプトをブロックするかを選択できる、Firefoxの「NoScript」プラグインに相当するものがChromeにはない。しかし、今後変わる可能性はある。

 「現在われわれは、独自のブラウザ拡張システムを構築しようとしている最中だ。その結果、NoScriptのようなことが可能になるかもしれない。これは、多くの人々にとっては煩わしいオプションだ。多くの質問項目に答える必要があり、セキュリティを専門としている人でなければうまく活用するのは難しいかもしれない」(Fette氏)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]