報告された弱点と実際のセキュリティはFirefoxの優位性を示している（1/2 ページ）

Symantecが19日に発表したリポートによると、Internet ExplorerよりもMozillaブラウザのほうが弱点が多いという。この件について関係者が語った。

[Jay-Lyman，japan.linux.com]

　Symantecが19日に発表したリポートによると、Internet ExplorerよりもMozillaブラウザのほうが弱点が多いという。Symantecの「Internet Security Threat Report」は、2005年の1月から6月までのセキュリティ動向を報告している。この期間、ベンダーによって確認された弱点がFirefoxには25個あったのに対し、MicrosoftのInternet Explorerには13個しかなかったそうだ。

　106ページから成るSymantecのリポートでは、ブラウザの弱点についての記述は僅かな部分を占めているにすぎない。しかし、業界紙はFirefoxの弱点がIEよりも多いというニュースを大きく取り上げていた。

　Firefoxのほうが「報告された」弱点は多いかもしれないが、実際のエクスプロイトを見つけるのは難しい。Mozillaプロジェクトの製品ヘッドを務めるクリス・バード（Chris Beard）氏は、Firefoxの弱点に対して実際に攻撃があったという話は聞いていないと言った。

　Ken Dunham氏（Verisign iDefenseの上級技術者）によれば、これまでFirefoxの弱点を悪用したエクスプロイトとして知られているものは1つしかないという。

　Dunham氏からの電子メールには次のように書かれていた。「わたしの知る限り、これまで実環境で見つかったコードは1つだけで、それは流行度の低いコードだった」

　iDefenseによると、そのコードはBoroBotワーム・ファミリのBoroBot.F変種であり、6月に「Michael Jacksonのソーシャル・エンジニアリング問題」として現れたもので、Firefoxの中程度の脆弱性を悪用しようとしていた。

　Symantecのリポートでは次の点も認めている。「MicrosoftのInternet Explorer以外のブラウザで広範囲におよぶエクスプロイトはまだ発生していないが、代替ブラウザが普及するにつれて、この状況は変化するだろう」

生の数値

　Beard氏は、Symantecの「生の数値（raw numbers）」に基づいた、Firefoxやその他のソフトウェアに固有のセキュリティについて疑問を投げかけた。

　彼はインタビューの中で次のように語った。「もっと意味のある評価法を考えるなら、おそらく未パッチの弱点の数と修正までの期間に着目したほうがよいだろう。エンドユーザーの安全を保つという点から見ると、こうした基準を導入したほうがずっと意味があるのではないか」

　同氏はFirefoxの最新のセキュリティと安定版アップデート（バージョン1.0.7）に言及し、Firefoxの迅速な修正を可能にするのはオープンソースの透明性と研究者どうしの協力であると主張した。

　「われわれは技術的成果を効果的に公表している」と彼は言った。

　加えて、Firefoxにはより安全なアーキテクチャという遺産があることを付け加えた。Explorerの最大の弱点の1つを引き合いに出して、彼はこう言った。「我々がActive Xをサポートしていないことは、ユーザーの安全を確保するうえで大きな強みになる」

　LinuxであれWindowsであれ、オペレーティングシステムからブラウザを切り離すほうがセキュリティには有利だ、とDunham氏も話していた。

　彼は次のように述べている。「それがFirefoxの大きな利点の1つである。Firefoxはコア・オペレーティングシステムやオフィス・パッケージと統合されたブラウザではない。Internet Explorerの場合は、この統合のせいで問題を分離するのが遙かに難しくなっている」

次ページ：ベンダーによる自己評価