IEとFirefoxの脆弱性分析(ライフサイクルサポートポリシー1/2)

Internet ExplorerとFirefoxの脆弱性分析 (ライフサイクルサポートポリシー 1/2)

分析を行うにあたって、ベンダーによってライフサイクルサポートポリシーが大きく違うことがわかった。

Mozillaは2004年11月にFirefox 1.0、2005年11月にFirefox 1.5、2006年10月にFirefox 2.0をリリースした。現在ではFirefox 2.0のみに、セキュリティ修正が行われ、サポート対象となっている。これは、旧バージョンのサポート期間は新しい(メジャーの)バージョンが出てから6ヶ月とする方針をMozillaが持っているからである。よって、本来の計画によると、Firefox 3.0は2007年11月に登場する予定であった。これは、Firefox 2.0のサポートは2008年5月に終了するということである。(※1)もしMicrosoftが同じ方針を有していれば、Internet Explorer 6のサポートは2007年5月に、Internet Explorer 5.01のサポートは2001年に終了していたことになる。

対照的に、Microsoftは通常、新しいオペレーティングシステムにあわせてブラウザをリリースしており、製品のライフサイクルに合わせてそのバージョンをサポートするようにしている。―ビジネス向け製品に対しては、現在10年間のサポートを行っている。メジャーなバージョンにはサービスパックがあり、Microsoftの方針では、旧のサービスパックのサポートは新しいサービスパックが出てから1年間行うことになっている。

MicrosoftWindows XP SP2向けのInternet Explorer 6を2004年8月に、Internet Explorer 7を2006年10月にリリースした。(Internet Explorer 7 VistaWindows Vistaと共に2007年11月にリリースされている。)この2つのバージョンは、現在Microsoftのサポート対象である。図は、2004年11月以降にリリースされたブラウザの年表である。すでにサポート対象外となった製品についてはサポート終了時点も示してある。

図には示されていないが、Internet Explorer 5.01 SP4は、まだサポート対象となっている。これは、Windows 2000ユーザで、ブラウザをアップデートしない人がいるためである。

Internet ExplorerとFirefoxの脆弱性分析(サポート対象のブラウザ)

Internet ExplorerとFirefoxの脆弱性分析(サポート対象のブラウザ)

このレポートでは、まず全体的な話から始め、徐々に論点を掘り下げていくことにする。

Mozillaは2004年11月にFirefox 1.0を公開し、続いて1.5、2.0を公開した。これら3つは、2004年11月から2007年10月までの3年間でサポートされているバージョンである。このレポートで取り上げる期間は、2007年10月末までである。

同じ期間で、MicrosoftInternet Explorer 5.01 SP3およびSP4、Internet Explorer 6.0 Gold、SP1、SP2およびWindows Server 2003 edition、Internet Explorer 7をサポートしている。

2004年11月のFirefox 1.0リリースから、Mozillaはサポート期間中のFirefoxについて、199の脆弱性修正を行った。そのうち、重大性の高いものは75、中程度のものは100、低いものは24であった。同じ期間中に、MicrosoftInternet Explorerのサポート期間中のバージョンについて、全部で87の脆弱性修正を行った。そのうち、重大性の高いものは54、中程度のものは28、低いものは5であった。


















この図の示す結果は、FirefoxInternet Explorerよりも脆弱性がずっと少ない、という予想と正反対である。そして、どのベンダーにとっても、セキュリティ品質は重要であることが強調されている。

修正済の脆弱性を示すこの図を眺めていると、公になってはいるがまだ未解決の問題について、個々のベンダーはどう対処しているのか、という疑問が湧いてくる。この問題については、レポートの後半で言及する。

Internet ExplorerとFirefoxの脆弱性分析(概要)

Internet ExplorerとFirefoxの脆弱性分析(概要)

脆弱性について考えるとき、ブラウザはコンピュータ上のソフトウェアにおいて最もセンシティブな部分のひとつである。ブラウザは、ユーザがインターネットを利用する際のドアとなるからである。ブラウザはウェブコンテンツを解釈・実行するが、コンテンツ作成はユーザの管理できないところで行われる。作成者はプロもアマチュアもおり、善意も悪意も持ち合わせているだろう。では、ブラウザベンダーはどうやって自社製品の安全性を保っているのだろうか?

Microsoftは2002年1月から開始された「信頼できるコンピューティング戦略」で、セキュリティの向上に焦点をあて、Internet Exploreのセキュリティ向上に取り組んでいる。結果、Windowsサーバ2003ではIEに「セキュリティ強化の構成」機能が導入された。また、Windows XP SP2ではIE6のセキュリティが強化され、最近では、IE7で全く新しいセキュリティ機能が実現されている。

同様に、Mozillaは2004年11月、Firefoxの最初のバージョンを公開したが、同社によるとセキュリティは大きな強みの1つであり、注力している部分でもあるという。

ブラウザは他にもまだあるが、IEFirefoxはブラウザとセキュリティに関する取組や主張の中心にある。そして、セキュリティ研究者の綿密な調査の対象となっている。

結局、セキュリティの専門家は、欠点のないソフトウェアは大望であることに気がついている。これを頭に入れつつ、私はIEFirefox脆弱性およびユーザに影響を及ぼすと思われるベンダーのアクションや方針について、分析を行った。

Internet ExplorerとFirefoxの脆弱性分析(目次)

Jeff JonesさんによるInternet ExplorerFirefox脆弱性分析の内容は下記のとおりです。

・サマリ
・概要
・サポート対象のブラウザ
・ライフサイクルサポートポリシー
・ブラウザ脆弱性の3年間
Internet Explorerの傾向
Firefoxの傾向
・未修正の脆弱性
・最終報告
・著者について
・付録

Internet ExplorerとFirefoxの脆弱性分析

Jeff Jonesさんのブログで、IEFirefox脆弱性に関するレポートが公開されています。

*****************************************************

Internet ExplorerとFirefoxの脆弱性分析 (サマリ)


ウェブブラウザは、人とインターネットをつないでいる。ブラウザによって、世界中のウェブサイトにアクセスできるし、航空券予約や銀行サービス、オンラインショッピングなど、様々なオンラインサービスを利用できる。ブラウザはユーザのセキュリティ経験値を評価する上での重要な項目となる。その理由は、ブラウザが世界中から配信されるウェブコンテンツやプログラムを解釈・実行するからである。


過去数年間にわたり、ブラウザのセキュリティを強化することの必要性が議論されてきた。しかし、ブラウザのセキュリティに関する主張を裏付けるような研究は、ほとんど行われていない。


このレポートは、Internet ExplorerFirefox脆弱性に関する分析結果である。この分析は、Windows XP Service Pack 2 でInternet Explore 6 が利用可能となり、MozillaFirefox
公開してからの数年間にわたって行ったものである。

****************************************************

※レポート本文は順次、日本語訳を行っていきます。

Jeff Jones Security Blogの日本語訳

このブログでJeff Jones Security Blogの日本語訳を行います。

Jeff Jones Security Blog : http://blogs.technet.com/security/



Jeff JonesさんはMicrosoftのTrustworthy Computing部門において、セキュリティ戦略ディレクターを務めています。セキュリティに関する彼の研究や意見が載ったブログを訳すことで、セキュリティを勉強する自分にとって大きなプラスとなると考えています。また、このブログが、ご覧いただく方にとって有益な情報になればと思います。



※翻訳にあたり、Jeff Jonesさんの許可を得ています。

ISACA東京支部 11月例会

ISACA東京支部の11月例会に行ってきました。
そこでセキュリティに関する講演がありましたので、内容を報告します。


テーマ  : 情報セキュリティから内部統制を考える
講師   : 内田勝也氏 (情報セキュリティ大学院大学教授)
日時   : 2007年10月31日(水)
主要項目 : セキュリティ、内部統制に関わるインシデント事例
       ISMS、内部統制のポイント整理


講演のポイントは、以下の3つだと感じた。
a.不正を許さないシステムの構築
b.不正を抑止・発見する監査
c.インシデント発生による内部統制への影響


a.不正を許さないシステムの構築
 T銀行の不正送金事件が紹介された。この銀行のシステムは、
毎回暗証番号を変えるつくりとなっていたが、端末から初期値に戻す
ことができ、暗証番号が循環するシステムだった。この欠陥を利用し、
行員らが他行の口座に数億円の虚偽振込みをした。
 動的なパスワードや暗号などが循環するようなシステムを構築すると、
その仕組みを知る者がパスワードを推測したり、暗号を解読する可能性が
高くなる。セキュリティが容易に破られないシステムをつくることが
大切である。


b.不正を抑止・発見する監査
 D銀行の書類偽造事件が紹介された。嘱託行員が変動金利債の取引で
多額の損失を出し、それを埋めるために無断取引を行ったが失敗を繰り
返し、膨れ上がる損失を隠すために書類を偽造した。同行では監査が
有効に機能しておらず、発覚するまでに長い時間がかかった。
 このようなインシデント防ぐためには有効な監査を行う必要がある。
例として、内田氏が過去銀行で行った監査の方法が紹介された。
 1.監査人がコンピュータを使い、全取引の明細を相手先毎に印刷
2.監査人が相手先に明細を送付し、相手先の取引記録との照合を依頼
3.相手先が明細の記載内容が正しければ署名し、監査人に返送
 4.監査人が明細がすべて返送され、署名されていることを確認


c.インシデント発生による内部統制への影響
 コンビニA社の個人情報流出事件が紹介された。カード会員約115万人
分の個人情報が社外流出し、A社は謝罪のため500円分の商品券を会員に
送った。A社の損害は約6億円で、経常利益の約2%、当期利益の約7%に
該当する。
 内田氏はここで、内部統制の不備の質的・金額的重要性の判断(例:
連結税引き前利益の概ね5%)について触れ、内部統制の観点からも、
インシデントの発生を防ぐことが肝要だと述べた。



 講演を通して多くのインシデント事例が紹介されたが、内田氏は企業が
他で起きたインシデントから教訓を得ず同じようなインシデントを発生
させていること、発生したインシデントに対して適切な対応を行って
いないことを指摘し、日本のセキュリティレベルが低いと述べた。
ハワード・シュミット(米国大統領重要インフラ保護委員会の元副委員長)
のインタビューが引用されたが、米国国防省への攻撃の97〜98%はパッチ
を適用しなかったか、設定ミスであるという。ウイルス作成ソフトなどの
登場により高度な技術力や知識がなくても攻撃可能になり、セキュリティ
に対する脅威がますます大きくなってはいる。しかし、結局セキュリティ
は守る側の問題であるところが大きいといえる。 高度な技術を駆使した
セキュリティツールを導入することも有効ではあるが、まずセキュリティ
ポリシーの確立と教育を行い、基本的なセキュリティ対策を徹底すること
が大切である。
 また、ISMSをJ-SOX対応に活かし、内部監査の項目を一体化して作業の
重複を防いで、効率的で有効な監査を行い、改善に役立てていくことも
必要だと感じた。