AppleのSafariに危険が忍び寄る
「1日目から安全」をうたうWindows版Safariだが、今の状況を見る限り、1日目どころかまだ「0日目」のようだ。
どうしてWindows版Safariを好きになるのか――Safariのサイトによると、その答えの1つは「AppleエンジニアはSafariを1日目から安全になるように設計した」からだそうだ。わたしたちは今、0日目のようだ。わたしのこれまでの経験の中で、Windows版Safariほどインターネットに登場してから最初の数時間を過酷に過ごしたものはなかったからだ。
Windows版Safariはすぐに研究者たちから踏みつけにされた。彼らは、サービス停止(DoS)、リモートコード実行、クロスサイトスクリプティング、cookie窃盗などあらゆるタイプの問題を簡単に見つけられると言い立てた。高度なファズテストを行う十分な時間もなかった。Appleはこれらの問題のほとんどを6月13日の夜遅くに修正したが、皆さんは間違いなく、Safariは0日目であるという印象を持ち、Appleのここ数年のセキュリティの実績から考えると、Safariの名誉を汚す行為はまだ続くと感じただろう。
この問題は大局的には重要ではないと一蹴することは容易だろうが、Appleはこれを現実的な問題にする覚悟を決めたようだ。わたしが心配しているのは、Safariの配布にWindows版iTunesを使うかもしれないというスティーブ・ジョブズ氏のコメントのせいだ。Appleはこれを、一部ではユーザーにSafariを導入させる強引な手法として、一部ではiPodとiTunesの勢いを駆ってSafariに弾みを付ける「ハロー効果」として考えている(実際、Wikipediaの「ハロー効果」のページでは、例としてiPodが使われている)。
実際問題として、わたしの予想では、iTunesをダウンロードしてインストールしたら、Safariも付いてくることになると思う。QuickTimeは既にそうなっている。わたしはiPodは持っていないが、QuickTimeをシステムにインストールすると、ほとんどの場合iTunesもインストールすることになる。iTunesなしのバージョンを手に入れようとした時でもだ。AppleはiTunesなしのバージョンを入手しにくくしている。だから、iTunesのダウンロードにSafariが付いてくるのは考えがたいことではない。おそらくSafariなしのバージョンのiTunesもあるだろうが、見つけるのは難しいだろう。こういうことをやっているのはAppleだけではない。
システムのデフォルトブラウザに関係なく、Safariを起動するリンクがiTunesに組み込まれるのも想像に難くない。こういうことをやっているのもAppleだけではない。
Appleは流れに逆らって、こんな厳しい市場に飛び込んでいると思う人もいるだろう。しかし同社がβリリースでWindows向けの重要なプラグインをすべて準備したことには感銘を受けたと言わざるを得ない。特に驚いたのは、Windows Media Player(WMP)プラグインへのリンクだ。SafariがFirefoxプラグインを使うとは思っていなかったが、そうしているようだ。SafariでMicrosoft WMP Firefoxプラグインをテストしてみたが、コンテンツの再生はできなかった。
何をそんなに騒いでいるのかと言う人もいるだろう。「だってβ版じゃないか」と。以前とは違って、その説明ではもう通用しない。GoogleのGmailはもう何年βでいると思う? Netscapeが「ほとんどテストをしていない製品をリリースする」という概念を作り出し、そのような製品は一般ユーザーが使える状態にあるのかどうかをめぐり賛否両論が交わされて以来、ソフトウェア、特にブラウザのようなインターネット固有のソフトに対する人々の期待値は下がってきた。AppleがSafariを「世界最高のブラウザ」と呼ぶのなら、少なくともこれまでリリースされたブラウザと同じくらい使えるものでなくてはならない。
もちろんSafariのエンドユーザー使用許諾契約書には適切な警告がすべて盛り込まれているが、誰もまじめには受け止めていない。特に、「このAppleソフトウェアをインストールする前にすべてのデータをバックアップすること、このソフトの使用中に定期的にデータのバックアップを取ることをお勧めします」と書いてあるような場合は。
もちろん、わたしが心配しているのはβ期間のことではない。SafariはWindowsユーザーに対する新たな、大きな攻撃面を作り出す。セキュリティ研究者間でのAppleの評判は、好評とはほど遠い。同社は過去2〜3年でMac OS Xの重大な脆弱性を多数修正した。それで同社が現実的な問題を避けてきたのは、主に同OSの市場シェアが低いからだった。だが、Windows版iTunesユーザーの数は非常に多く、攻撃を仕掛ける価値はある。例えば、簡単に思いつくのがiTunesクーポンを装ったマルウェアだ。実際、おそらくそうしたものは既にたくさんあるのだろうが、その手口でSafariを狙えばもっと効果的かもしれない。
だから、AppleがWindows版Safariでほかの製品よりもうまくやってくれること、すべてのセキュリティ問題のフィックスを、先日と同じくらい早く提供してくれることを期待している。
関連記事
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
- 約半数の企業は“初期段階” アイデンティティーセキュリティに関する調査が公開
- 生成AIは便利だが“リスクだらけ”? 上手に使いこなすために必要なこと
ITmediaはアイティメディア株式会社の登録商標です。