Googleがスポンサーとなり、情報セキュリティ調査会社「Accuvant Labs」によって実施された、主要三大ブラウザのセキュリティに関する最新の調査結果(英文)が明らかになりました。これによると、Chromeがセキュリティ機能ではベストである一方、Firefoxはセキュリティ保護の観点から、Internet Explorerよりも下という結果に...。それでは、その内容について詳しく見ていきましょう。
Accuvantでは、Firefox、Google Chrome、Internet Explorerの3つのブラウザについて調査。2011年7月時点で最新バージョンだったブラウザを、32-bitの『Windows 7』で検証しました。今回の調査では、SafariやOperaなど、他のブラウザは調査対象から外されていますが、今後これらに関する調査結果も、随時更新していく方針だそうです。
このように、Accuvantの調査結果は一部のブラウザに対する評価のみであり、Windows以外のOSでは検証されていないものの、現時点では最も総合的なものと考えられているようです。現在、および将来の脅威に対するブラウザのセキュアな点、脆弱な点について、より多くの情報を提供し、専門家が「侵入者がマシンにアクセスしたとき、各ブラウザがどのように動くのか?」といった点をさらに検証するための示唆を与えています。
この調査結果では、ウェブページに埋め込まれ、自動的にダウンロードしたり、実行したりする、悪意のあるコードやスクリプトからユーザを守るという目的で、最新かつ最も効果的なセキュリティ機能を持っているのは、Google Chromeであると結論づけています。
この調査で検証されたもののうち、主な3つの機能についてみてみましょう。
ブラウザの制限を超えたシステムリソースやデータへのアクセスをブラウザが制限するこの機能は、ブラウザ間で大きな違いが現れたポイントの一つ。今回の調査結果によると、ブラウザに付随しない個人情報から侵入者を排除するという点で、Chromeが最も効果的だったとか。Internet Explorerにもサンドボックス機能はありますが、ソフトウェアのインストールは防げるものの、第三者からファイルを読み込まれる可能性が指摘されています。一方、Firefoxはサンドボックス機能自体が導入されておらず、ゆえに、効果的でないと判断されました。
コンピュータ上で走らないJavaScriptのコンパイルを、ブラウザにさせないという機能。ChromeとInternet Explorerは互角でしたが、Firefoxはこれらより劣っていたそうです。
プラグインが走るのを拒否し、追加ソフトウェアをインストールさせない機能。Chromeがやはり優位です。
以上の3つの機能で、Chromeはトップの成果。サンドボックスやJITハードニングは、Internet Explorerと互角ですが、いずれもChromeのほうが若干優れていたそうです。一方、いずれにおいても、Firefoxは最も低い結果となっています。
その他の機能では、3つのブラウザとも互角の結果。ただし、URLブロックリスティング機能は、Chromeが一番ましだったとはいえ、いずれのブラウザも十分な結果には至りませんでした。
結論として今回のAccuvantの調査結果では、Chromeがトップ、次いでInternet Explorerというランキングに。この結果に至った原因について、過去の「遺産」をある程度引き継がざるを得ないInternet ExplorerやFirefoxに比べ、Chromeは新しい発想とセキュリティの概念を元に、ゼロベースで開発できる点が指摘されています。
では、Mozillaやマイクロソフトはこの結果をどう捉えているのでしょうか?
Firefoxの開発にたずさわるMozillaのディレクターJohnathan Nightingale氏は、フォーブス誌の記事(英文)で今回の調査結果に回答。Firefoxは、ASLRといったプラットフォームレベルの機能から内部システムまで、セキュリティ脅威を軽減・削減するため、様々な技術を網羅しています。たしかに、サンドボックスは我々も検討している便利な機能ですが、万能な技術はこの世には存在しません。Mozillaでは、社内外のコードレビュー、継続的なテスト、コード解析、顕在化したセキュリティ問題へのすばやい対応など、開発プロセスを通じてセキュリティに投資しています。セキュリティの優位性には自信を持っており、Firefoxにとって優先事項の中心です。
一方Microsoftは、「マルウェアからユーザシステムを保護するという点で、Internet Explorerは、FirefoxやChromeなどの競合ブラウザより優れている」というNSS Labsの調査結果(英文)を指摘し、その優位性を示しています。ただし、Accuvantの調査がGoogleから資金提供を受け、依頼のもとに実施されているのと同様、NSS Labsの調査費用はMicrosoftがまかなっている点をかんがみると、その調査結果については懐疑的に見ざるをない面もあります。
Accuvantは、高い評価を受けているセキュリティ調査会社です。調査結果すべてのテキスト(英文リンク)だけでなく、他の研究者による検証に備えて、この調査で使ったツールや補完データも公開しています。Googleがこの調査を依頼しているという背景ゆえ、Googleに優位な結果が出ることで、この研究結果自体の価値に疑問を呈される可能性については、Google、Accuvantともに認識しています。その上でAccuvantは、デジタルメディア「Ars Technica」の記事(英文)において「Googleは、Accuvantに幅広い裁量を与えており、ゆえに、Accuvantは公明正大にブラウザセキュリティを検証しています」と主張。Googleがこの調査の独立性の担保にオープンであるのかどうかは定かではないものの、Accuvantの調査結果がセキュリティ調査会社としての存在や、その成果のクオリティを代表するものであり、その根拠に優位性があることを踏まえれば、現時点ではその結果や手法について、批判はできません。むしろ、実際の問題は「どれくらいユーザがこの結果を気にするべきなのか?」という点です。
Chromeが現時点ではトップとされているものの、Internet ExplorerやFirefoxも今回の調査結果を踏まえて、改変されるでしょう。また、Accuvantの調査ではシステムが危険にさらされており、ブラウザ自体のセキュリティ機能以外に、他の保護機能を使っていないとことが前提となっています。しかし、いずれの前提条件も実際はあまり起きないものです。つまり、この調査結果は業界内でのいわゆる「ブラウザ戦争」を盛り上げるきっかけにはなりそうですが、一部のブラウザファンを除いては、じっくり目を通さなくてもいいかもしれません。
ほとんどの場合、ブラウザのセキュリティはユーザ側の責任で担保されるべきことです。ウェブサーフィンは、できるだけ注意深く、用心しましょう。可能な限りSSLを利用する、安易にファイルをダウンロードしたり実行したりしない、日常に必要な拡張機能だけインストールする、といった日ごろの実践こそ、コンピュータのセキュリティを保護する第一歩です。たとえばFirefoxユーザなら、セキュアなセッションが使えるときはいつでも安全に閲覧できる「HTTPS Everywhere」や、悪意のあるJavaScriptの追跡を止めさせる「NoScript」といった拡張機能があります。また、Chromeにも「NotScript」や「ScriptNo」といった拡張機能があるので、同様の機能を備えることが可能です。
このほかオンラインセキュリティについては、ライフハッカーアーカイブ記事「オンライン生活をより強固に保つためのシンプルな5つのコツ」などもあわせてご参考まで。
Alan Henry(原文/訳:松岡由希子)
