ドイツ政府は、現在蔓延しているゼロデイ攻撃を回避するため、Internet Explorerの使用をやめるよう強く求めています。Microsoftはこの問題に対処するためのパッチの開発を急いでいます。しかし、この攻撃はJavaの存在を前提としているため、Internet ExplorerではなくJavaこそがこの問題の最大の弱点なのです。
Javaは最近、自身のゼロデイ脆弱性を狙った攻撃の標的となりました。しかし、これらの脆弱性はそれほど「ゼロデイ」ではなかったことが判明しました。セキュリティ研究者は数ヶ月前にこれらの脆弱性を発見し、Oracleに報告していましたが、攻撃者がこれらの脆弱性を発見し、悪用し始めるまで、Oracleは脆弱性の修正を優先していませんでした。
Oracleの場合、Javaのパッチが新たな問題を引き起こしました。Oracleはゼロデイ攻撃の標的となる脆弱性に対処しましたが、既に認識していたもののまだパッチを開発していなかった別の脆弱性もパッチに含めていました。
Javaは、今年初めにMac OS Xユーザーを悩ませたFlashbackマルウェアの根底にも存在していました。Oracle側は、この脆弱性に対するパッチを開発・リリース済みだと弁明しましたが、AppleはOSに独自バージョンのJavaを組み込んでいるため、アップデートの展開はApple側に委ねられており、その対応は遅々として進みませんでした。
問題はJavaだけ、あるいは常にJavaだけの問題ではありません。Adobe Flash、Adobe Reader、そしてほぼあらゆる場所で使用されている他のAdobeツールも、エクスプロイトやマルウェア攻撃の標的となることがよくあります。Adobeは最近、Adobe Flashの重大な脆弱性を修正しましたが、MicrosoftはInternet Explorer 10にFlashを組み込んでいるため、修正パッチを提供するのはMicrosoftの役割です。私たちはまだそのアップデートを待っているため、Windows 8とInternet Explorer 10を使用しているユーザーは依然として脆弱な状態にあります。
だからといって、オペレーティングシステムやブラウザベンダー、特にMicrosoftが責任を免れるわけではありません。Internet Explorerは攻撃者に多くのチャンスを与えており、エクスプロイトやマルウェアの格好の標的となってきました。しかし、Microsoftをはじめとするブラウザ開発者が開発を強化し、より強力で安全なブラウザを開発するにつれて、攻撃者は新たな弱点を探し始め、その弱点はサードパーティ製アプリケーションであることが多いのです。
JavaとAdobeのツールは、WindowsとMacの両方のPC、さらにはLinuxや多くのモバイルデバイスにもほぼ普遍的に搭載されているため、注目を集めています。しかし、JavaとAdobeは、注目を集める存在であるため、それほど心配する必要はないかもしれません。ブラウザで使用している、その他のあまり知られていないサードパーティ製アプリ、アドオン、拡張機能についてはどうでしょうか?
OracleとJavaは完璧ではないかもしれませんが、少なくとも製品のサポートは継続しており、パッチやアップデートの開発も続けています。しかし、サードパーティ製のブラウザツールの多くは、個人が余暇に開発したものです。そもそも基本的なセキュアコーディングの原則が欠如している可能性があり、欠陥が発見されてもメンテナンスやパッチ適用が行われる可能性ははるかに低いでしょう。
Internet Explorer を放棄すべきでしょうか? おそらくそうではないでしょう。
Chrome、Firefox、あるいはお好みのブラウザをぜひご利用ください。ただし、魔法のようにセキュリティが万能になる万能策は期待しないでください。どのブラウザを選ぶにしても、常に最新の状態を維持し、使用するアプリケーションやアドオンに攻撃にさらされる可能性のある欠陥がないか注意深く確認する必要があります。
