「セキュリティの問題で,ほかのブラウザからFirefoxに乗り換えるユーザーは多い」——。Mozilla Foundationの技術部門ディレクタ(Director of Engineering)のChris Hofmann氏は11月2日,プレス向けの説明会で「Mozilla Firefox」ブラウザの特徴——特に,セキュリティに関する優位点——を説明した。
同氏は,セキュリティに関してFirefoxが優れている点の一つとして,「セキュリティ・ホールが見つかればすぐに修正する体制ができている」ことを挙げる。「すべてのソフトウエアにはセキュリティ・ホールが存在しうる。Firefoxも例外ではない。セキュリティ・ホールが見つからないとは保証できない。ただし,それほど深刻なものではなくても,セキュリティ・ホールが見つかればすぐに修正する。24時間以内に対応する場合も少なくない」
同氏が対照的な例として挙げたのは,2004年6月に出現した,Internet Explorer(IE)のセキュリティ・ホールを突く「Download.Ject」である(関連記事)。Download.Jectは,IEに見つかった複数のセキュリティ・ホールを突いて,ユーザー・マシンに被害を与える(関連記事)。Download.Jectが出現した時点では,米Microsoftからはセキュリティ・ホールに関する情報や修正パッチは未公開だった。「一つひとつは軽微でも,放置しておくと,このケースのように組み合わせて悪用されてしまう。見つかったら,すぐに修正することが重要だ」(Hofmann氏)
Download.Jectの騒ぎをきっかけに,「Firefoxを試してみよう」と思ったユーザーは多かったようだ。2004年6月15日から7月15日までのFirefoxのダウンロード数は500万件にのぼったという。「IEに深刻なセキュリティ問題が起きたためだと考えられる」(Hofmann氏)。同氏は明言しなかったが,この“セキュリティ問題”はDownload.Jectのことだろう。
加えて同氏は,「Firefoxは,そのセキュリティ・アーキテクチャが優れる」ことも強調する。ここでも,IEとの比較で,Firefoxが優れていることを説明した。「IEには『セキュリティ・ゾーン』という考え方がある。この考え方(アーキテクチャ)では,実装に不具合があると,ユーザーに警告などを出すことなく,任意のプログラムをリモートから実行されてしまう。ActiveXコントロールについても同様だ。セキュリティ・ゾーンとActiveXコントロール,この2つでほとんどのセキュリティ問題は起きている。FireFoxではこれらのアーキテクチャは採用していないので心配はない」
FireFoxがIEよりもセキュリティに優れていることの裏付けとして,Hofmann氏は2003年から2004年までに見つかったセキュリティ・ホールの数を挙げる。セキュリティ・ベンダーであるデンマークSecuniaのデータによると,IE 6には42個のセキュリティ・ホールが見つかり,そのうち最も深刻な「Extremely」とされたものが14%,パッチ未公開のものが全体の36%だったという。それに対してFireFox 0.xでは,セキュリティ・ホールの数は11個,「Extremely」のセキュリティ・ホールは0個,未対応のものは全体の18%に過ぎないという。
ただしIEの場合は,シェアが大きいために“バグ・ハンター(セキュリティ・ホールを見つける人たち)”のターゲットになっている側面もある。この点をたずねると,「確かに,Firefoxもシェアが伸びると『IEのようにたくさんのセキュリティ・ホールが見つかるようになるのでは』と心配しているユーザーがいるだろう。しかし,セキュリティ問題が見つかるかどうかは,ユーザー数よりも,そのソフトウエアのアーキテクチャやセキュリティ体制に依存する。セキュアなアーキテクチャを採用し,なおかつ,潜在的な問題を摘み取っていけば,ユーザー数が多くなってもセキュリティの危険性は増大しない」(Hofmann氏)。
Hofmann氏はWebサーバー・ソフト「Apache」を例に挙げる。「Apacheを見てほしい。ApacheはIISよりもユーザー数は多い。しかし,セキュリティに関してよい実績をあげている。Firefoxも同様である。ユーザー数が増えても,問題はない」(Hofmann氏)
(勝村 幸博=IT Pro)
