セキュリティコンサルティング企業の米 Accuvant Labs は2012年3月1日、米国サンフランシスコで開催された「RSA Conference」においてブラウザのセキュリティ調査の結果を公表した。調査の結果、最もセキュリティが強固なブラウザは、Google Chrome だということがわかった。Google Chrome は Microsoft Internet Explorer よりもはるかに安全なブラウザであり、 Microsoft Internet Explorer は Mozilla Firefox よりは安全なブラウザだと結論付けられた。
同調査の目的は、悪意のあるコードやスクリプトからのアタックに対して最新かつ最も有効なセキュリティ機能を持つブラウザを評価し、利用者に知らせること。調査対象となったのは、 Mozilla Firefox、Google Chrome、Microsoft Internet Explorer の3つのブラウザだった。Accuvant Labs は、この3つのブラウザのセキュリティを、サンドボックス、JIT ハードニング、プラグインセキュリティなどの様々な側面から比較している。
Accuvant Labs の上級科学研究員 Chris Valasek 氏は、RSA カンファレンスの聴衆に対して、同社がサンドボックスを重要視している理由を次のように語った。
「サンドボックスは、アタックからの被害をある範囲までで食い止めることができる。完璧とは言えないまでも、利用者のマシン上でアタックに対しての防御壁として機能するものだ」
Chrome と IE は両方とも、サンドボックス機能を実装している。中でも、Chrome のサンドボックスはもっとも強固であると評価された。これに対して IE のサンドボックスは、OS 内のほとんどのオブジェクトに対して読み取りアクセスを許可しており、一握りのシステム変更のみを防ぐに留まっている。Firefox では、システムに対して、読み取り、書き込み、あらゆる種類のシステム変更が許可されている。
Accuvant Labs はまた、JIT ハードニングが攻撃に対する重要な防御壁であると考えている。IE には、考えうる JIT ハードニング技術がすべて実装されているという。一方、Firefox にはまったく実装されていない。
プラグインについては、3つのブラウザともセキュリティ戦略が欠けていると結論付けられている。
Accuvant Labs によれば、それぞれのブラウザは異なった性質を持っているため、セキュリティを比較することは困難であるようだ。Accuvant Labs の上級リサーチコンサルタント Joshua Drake 氏は次のように語っている。
「完全な比較を行うのは、不可能とは言わないまでも非常に難しい」
3つのブラウザにはそれぞれに固有の弱点があり、その弱点にあった対策をとることが重要なのだという。あるブラウザに有効なセキュリティ対策は、別のブラウザではあまり意味を持たないことがある。同調査の指揮を執った Shawn Moyer 氏は次のように語る。
「我々はこの調査を、利用者に対するデータ提供と位置付け、決定は利用者の手に委ねたいと考えている。私は、組織や企業の情報セキュリティ部門は、その組織内における標準的なブラウザプラットフォームを決定し、そのブラウザの利用をある程度強制するべきだと考える。最悪なのは、従業員が自分の好きなブラウザを勝手に利用している状況だ」
0 件のコメント:
コメントを投稿