この調査結果は2005年8月に発表されたのだが,私はその存在を見逃していた。研究グループは,2004年の1年間Internet Explorer(IE),Firefox,Operaという3種類のWebブラウザを追跡調査し,「危険であると知られていた(known unsafe)」日数を数えた。ここでの「危険であると知られていた」の定義は,「遠隔地から悪用される可能性のあるセキュリティ・ホールが公表されたにもかかわらず,修正パッチが提供されていない状態」である。
それによると,IEは98%が危険日だった。パッチ未提供の公開済みセキュリティ・ホールが存在しなかったのは,2004年を通してわずか7日だった。
Firefoxの危険日数は15%。パッチ未提供のセキュリティ・ホールが公開されていた期間は56日間だった。このうち30日間は,Macintoshユーザーだけが影響を受けるものだった。Windows版に限ると,Firefoxの危険日数は7%となる。
Operaの危険日数は17%(65日間)。この日数は,本来の値よりたまたま少ない結果となった。というのも,2件のセキュリティ・ホールによる危険日の期間が重なっていたからだ。
この調査は,「悪人だけが知っていて公表はされていないセキュリティ・ホール」を数えていないため,リスクを過小評価している(「悪人だけが知っている未公表のセキュリティ・ホールなど存在しない」と考えるのは愚かなことだ)。そのため,IEの「危険日数98%」という数値は甘く見積もったもので,実際の状況はもっと悪いだろう。
<http://bcheck.scanit.be/bcheck/page.php?name=STATS2004>
Copyright (c) 2006 by Bruce Schneier.
◆オリジナル記事「Internet Explorer Sucks」
◆「CRYPTO-GRAM January 15, 2006」
◆「CRYPTO-GRAM January 15, 2006」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。
