最も安全なブラウザを実行しているのは誰か：FirefoxとIEユーザーの違い（2/4 ページ）

[Larry Seltzer，eWEEK]

　Firefox、Safari、OperaのUSER-AGENTヘッダフィールドはメジャーとマイナーの両方のバージョン情報を含むが、Internet Explorerはメジャーバージョンの情報しか含まない。従って今回の調査手法では、Microsoft Internet Explorerをメジャーリリース以下のパッチレベルで分析することはできなかった。

　研究者たちは今回の調査を補完するために、PC上のアプリケーションが最新版であるかをチェックするSecuniaのSoftware Inspectorのデータを加えている。

　問題は、IEにマイナーバージョン情報が含まれないため、IE7ユーザーはすべて最新の安全なバージョンを実行し、古いバージョンを利用するユーザーはいないと研究者たちが想定したことだ。しかし、現在もIE5やIE6のサポートは継続されており、それらのバージョン向けにパッチが発行されている。Mozillaの場合、古いバージョンのサポートをすぐに終わらせる。事実、Firefox 2のセキュリティアップデートを含むサポートも、Firefox 3のリリースから6カ月後の12月中旬に終了すると発表したばかりだ。

　一方のMicrosoftは、Windows 2000とともにデビューしたIE5のサポートをWindows 2000のサポートが終了する2010年7月13日まで継続すると約束している。IE6についても同様に、Windows XPのサポートが終了する2014年4月8日、あるいはWindows Server 2003のサポートが終了する2015年7月14日までサポートする方針だ。

　Firefox、Safari、Operaのユーザーは、最新のパッチレベルで実行しているとみなして間違いはないだろう。そうなると研究者たちは、IEとほかのブラウザとで異なるスタンダードを適用したことになる。これはセキュリティ分析において、しばしば見られるエラーの1つだ。彼らは今回の調査でそのエラーを犯した。

　企業のIT部門は、どのようなソフトウェアであれ、メジャーなバージョンアップがあった場合も、すぐには飛びつかない。Webブラウザのようなクリティカルなアプリケーションであれば、なおさらだ。MicrosoftがWindows 2000上でIE5のサポートを継続するのは、顧客からの強い要請があるからで、同社自身がそうすべきであると考えているわけではない。MicrosoftはMozillaやAppleとは違って、顧客に対して一方的にアップグレードを命じることはできないのだ。そう考えると、MozillaやAppleの製品が企業に正式導入されることが少ないのも納得がいく。もし彼らが自社のポリシーを変更していれば、状況は大きく変わっていただろう。

　もちろん、そうしたステレオタイプな見方は慎むべきかもしれない。では、Firefoxユーザーとはどのような人々だろう。わたしが考えるに、彼らの多くは技術系ユーザーだ。自分たちが利用するシステムに積極的な興味を持ち、それらのシステムに影響力を持つ人々である。そうしたユーザーは、新しいパッチがリリースされるとすぐにアップデートする。企業の一般ユーザーの場合、勝手にアップグレードを適用したり、新しいバージョンをインストールすることはできない。それはIT部門の専権事項であるからだ。