Safariは瞬く間に陥落しましたが、Chromeは3回連続でPwn2Ownハッキングコンテストを無傷で乗り切りました。一見すると、AppleのWebブラウザの使用を避け、誰もがGoogle Chromeを使うべきであるように思えます。しかし、物事はそれほど単純ではありません。毎年恒例のセキュリティイベントでハッキングされたもの、そしてハッキングされなかったものから、他にも学ぶべき教訓があります。
Appleは、ハッカー集団が攻撃を仕掛ける前に、既知のバグや問題を修正するためにSafariウェブブラウザをアップデートしました。しかし、あまり効果はありませんでした。あるハッカー集団がSafariを悪用し、わずか5秒でMacBook Airをハッキングすることに成功しました。そう、5秒です。「Safariは5秒以内にハッキングされた」と入力するよりもずっと短い時間です。
一方、GoogleがChromeブラウザのハッキング成功者に提供した史上最高額の賞金2万ドルに挑戦する者は誰もいなかった。2つのチームが参加登録していたが、1チームは欠席し、もう1チームはBlackBerry OSのハッキングに集中するためChromeコンテストへの参加を辞退した。つまり、Chromeはハッキングされておらず、悪用可能なセキュリティホールは存在しないようだ。
ということは…Safariは絶対に使わず、Google Chromeに乗り換えるべき、というのが明白なメッセージですよね?いや、違います。本当は違います。まあ、ある意味そうかもしれませんが、そんなに単純ではありません。Chromeが無敵だという幻想に陥ってしまうのが落とし穴です。しかし、物事を客観的に捉えることが重要です。Pwn2Ownを生き延びたからといって、Googleのブラウザがハッキングされないわけではありません。ただ、このイベントに参加しているセキュリティ研究者の誰もが、悪用可能なセキュリティホールに気づいていないというだけです。
Pwn2OwnでのChromeの成功は、ユーザーに誤った安心感を与える可能性があります。ハッキング不可能なソフトウェアなど存在しません。存在するのは、まだハッキングされていないソフトウェアだけです。プロのマルウェア開発者は、エクスプロイトを秘密にしておくことで、攻撃に利用され、検知されないようにします。
Safariのハッキングは、パッチが完全に適用され、更新されたブラウザでさえセキュリティホールが存在するという現実を浮き彫りにしました。Internet ExplorerのPwn2Ownハッキングは、攻撃者が基盤となるオペレーティングシステムのセキュリティ制御を回避または迂回できることを実証しています。
悪用可能なセキュリティホールがなく、本質的に安全であるように見えるソフトウェアを使うのは確かに理にかなっています。あなたのソフトウェアが侵入不可能ではないかもしれませんが、少なくとも悪意のある開発者がそれを悪用するために苦労するようなソフトウェアを選ぶべきです。その観点から、SafariをやめてChromeを使うことをお勧めします。
ただし、Chrome が Pwn2Own を生き延びたからといって、油断したり、デフォルトで安全であると誤って想定したりしないでください。
