Oliverによる
2006年02月04日 10時47分の掲載
今日もダメ部門より。
今日もダメ部門より。
shesee曰く、"暗号技術の専門家であり、多くの暗号に関する著書もあるブルース・シュナイアーが2006年1月15日付けのCrypto-Gram News letter(日本語訳)で言及したところによれば、ベルギーのセキュリティー関係の企業scanitが2005年8月に発表したbrowser security testのレポートにおいて、2004年の一年間、Microsoft社のInternet Explorerが、既知のセキュリティー上の欠陥を持たなかった期間(すなわちパッチをすべて当てた状態において、なおかつ未修正の既知の欠陥を持たなかった期間)はわずか2%であり、98%の期間は攻撃される可能性があった。(付け加えれば、54%の期間は、実際に攻撃可能なコードが存在した)対してMozillaは同様の期間が15%、Operaが17%に限られたことが報告されている。
これは、scanitが提供してるbrowser security test(閲覧したブラウザが既知の欠陥を持つかどうか表示するページ)の報告に付随するものであり、実際にテストを行ったブラウザのリスク分布を示したRisk distributionの表は真っ赤で空恐ろしいものがある。"
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
IE+AntiVirusの場合は? (スコア:3, 興味深い)
それによってブラウザ、とりわけIEの評価が変わるわけではありませんが、対策ソフトがどのくらい効果的なのか、同じ尺度で測れるかもしれません。
また、Linux+FireFox などの場合も知りたいですね。
# なにか勘違いしていたらお許しを!
補足 (スコア:4, 参考になる)
「98%」とかいうのは、test結果を反映したものではないんです。ちょっと回り道になるけど、この調査について補足しておきましょう。
調査報告(全5ページ)の1ページ目のグラフは、browser security test結果の統計 [scanit.be]です。上のほうのグラフについて、年末にテストを受けた数が伸びたのは/.本家で紹介されたからだとか、そこでMozillaが急激に伸びてるのは/.がLinuxびいきだからとか、全体を見ればOSはWindowsが大多数だったとか、そういった内容が書かれています。
そのページの一番下に、test結果のリスク分布のグラフがあります。このグラフで、重大度が高いことを示す赤が拡大している期間がありますが、これはIEの脆弱性の公表・修正の時期と一致しています。
そこで報告後半では、各ブラウザの脆弱性の公表・修正の時期(つまり、バグの寿命)をまとめています。こちらはtest結果とは関係なく、各ブラウザに「リモートでコードが実行される脆弱性」が存在する期間をまとめたものです(報告の3~5ページ目; Internet Explorer [scanit.be]、Mozilla [scanit.be]、Opera [scanit.be])。
各ブラウザのまとめにある表の色分けされたタイムラインは、脆弱性が発見・公表された経緯を表しています。
で、ブラウザに脆弱性が一つでも存在する期間の長さを見ると、IEは2004年の98%が危険日だったなどのことがわかった、というものです。
親コメント
Re:補足 (スコア:2, 興味深い)
続き。「危険日は何%」などとあるから「IE+セキュリティ対策ソフトで何%まで危険を減らせるのか」と気になりますが、この数字は「各ブラウザの開発チームが脆弱性の修正をどれだけ上手くやっているかを示す指標の一つ」と見るほうがよいのではないか、と思います。
親コメント
実際に被害にあう確率は? (スコア:3, 興味深い)
指標毎に違う結果がでるので、参考程度にしかならないのではないでしょうか?
いっそ、ドレークの方程式みたいに計算したら面白いかも。
f(x) = a * b * c * d * e
f(x) : 被害規模
a : 攻撃者がそのブラウザをターゲットにする確率
b : 攻撃者がウィルスを作成する速度
c : ブラウザのセキュリティホールの数
d : ブラウザのセキュリティホールの対応速度の逆
e : ブラウザのセキュリティホールの平均被害金額
e : ブラウザの平均使用時間
# 次元すら考えていない超適当な数式だけど、敢えてID
--- 駆り立てるのは納期と仕様変更。横たわるのはPGとSE。
Re:実際に被害にあう確率は? (スコア:5, おもしろおかしい)
xはどこだ
-- 雪のない富士山もきれいだな
親コメント
Re:実際に被害にあう確率は? (スコア:3, おもしろおかしい)
> e : ブラウザの平均使用時間
ゆえに、ブラウザのセキュリティホールの平均被害金額は、ブラウザの平均使用時間に比例することが証明された。
親コメント
OSの脆弱性をそのまま引き継いでいる (スコア:2, 興味深い)
IEの場合は、OSの脆弱性をそのまま引き継いでいる場合があるのが弱みかなぁ。言い換えれば、OSの各種APIを実装したライブラリが、IEのように信頼できない外部からバカスカとファイルデータなどを受け取るようなレベルで設計してなかったとか。
Re:OSの脆弱性をそのまま引き継いでいる (スコア:2, すばらしい洞察)
MSは素直にOSだけを販売していて欲しかった。ブラウザは別売りのままであって欲しかった。いっそのことブラウザは他の会社にまかせっきりにしていて欲しかった。
もう、後の祭りですけど。
親コメント
Re:OSの脆弱性をそのまま引き継いでいる (スコア:2, すばらしい洞察)
Windows Vistaより後のバージョンでは分離するオプションを提供して欲しいものです。
Super Souya
親コメント
もうセキュリティーでどうこう言うの辞めません? (スコア:2, すばらしい洞察)
実際に98%の期間が存在したのであれば、もっと攻撃を受けている人がいてもおかしくない。
しかし実際にはほとんど攻撃を受けていない。
と言う事は98%の期間と言えどもワームとかの部類ではなく、特定サイトに埋め込まれるコードや、単なるフィッシングなどそう言う部類の攻撃を受ける可能性なだけなのは確実。
しかもサードパーティー製ソフトと連携させれば防げるものばかり。
Firefoxを信奉してる人の言う意見はもうあまり誰も信用しませんよ。
セキュリティーで優位だと思い込めばセキュリティーをしつこくいい、そうでもなかったら機能面をしつこく言う。
一連の流れがしらけるものだったのは確実です。
もうそろそろブラウザと言うものを主眼に考える事を、改める必要があるのではないでしょうか。所詮ブラウザができる事は究極的にはネットを見るだけに過ぎません。
もっと高いレベルでのオープンソースソフトウェアの開発の盛り上がりを期待したいです。まさに新境地と言うソフトウェアを。
今のままじゃ、なんのためのオープンソースなのかが揺らぎます。
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:3, 興味深い)
Firefoxはそれ自体の脆弱性しかカウントしていないとか、
IEの場合はMSが脆弱性とは認識していないものまでカウントしたり、
MS嫌いの脆弱性発見者がMSに知らせる前に公表してしまうなどで
結果的に危険日が多くなってしまっている。
既知の脆弱性というのは広く知られている脆弱性というだけであり、
その脆弱性が新たに生まれたというケースはとても少ない。
すなわち一般には知られていないが知ってる人はいる脆弱性が
あるかもしれない。
そう考えるとIEだろうがFirefoxだろうが、脆弱性を持っていなかった
安全日なんて0に近いわけだ。
現在、FirefoxがIEと比較して安全度が高いのは確かかもしれない。
しかしそれも一時的なものであり、それを取り巻く状況が変わったら
その評価も変わってくるのは確か。
Firefoxのシェアが20%を超えたくらいにでもなれば、悪意の攻撃者も
攻撃対象として狙う確率が急増するだろう。
愉快犯より金銭狙いのネット泥棒が増えている近年。
泥棒はお金さえ盗めればブラウザがIEなのかFIrefoxなのかんんて
関係ないわけで。
それならば脆弱性の詳細がソースごと公開されているFirefox
のほうが攻撃しやすいわけ。
リバースエンジニアが必要なクローズドソース製品を調べるより、
オープンソース製品のほうが0-day-attackな脆弱性を探すのが
比較的楽なのは確か。
それにネット泥棒たちが気づいたときには危険度は逆転する恐れも。
親コメント
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:2, すばらしい洞察)
> オープンソース製品のほうが0-day-attackな脆弱性を探すのが比較的楽なのは確か。
全く同じ理由で、オープンソース製品の方が脆弱性が修正されやすいと見る向きもありますが…
親コメント
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:2, すばらしい洞察)
困ったことに、いくら迅速かつ的確に修正されてもユーザーがアップデートしなかったら意味ないんですよね。
親コメント
害がなければセキュリティをどうこう言う必要はないでしょうね (スコア:2, すばらしい洞察)
マイクロソフトはブラウザだけでなくOSも販売してる上に
ブラウザのシェアを1位にするために頑張っていた過去があるので、
シェアの関係でセキュリティを狙われ易いなら
その対策を行う義務があるかと思います。
そもそもOSやIEが危険だと書いていないためサードパーティ製ソフトを
使用していない人はまわりでもいるので、サードパーティ製ソフトの
使用を前提に語られてもなあと思います。
>所詮ブラウザができる事は究極的にはネットを見るだけに過ぎません。
そうかもしれないですが、「ネットを見るだけ」の中に銀行の口座を操作するということ等も含まれてますよね。
お金に絡むこともできるので、乱暴な議論に思えます。
親コメント
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:2, 興味深い)
親コメント
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:2, 興味深い)
マテ。「ほとんど攻撃を受けていない」って何で言い切れるん? 攻撃を受けていたかどうか、被害を被っていたかどうかも分からずに使い続けている可能性だって十分あるはずやん。
なんぼフィッシングされて個人情報かすめ取られたかて気づかれんことには被害の統計にも反映されんのやでー。
むらちより/あい/をこめて。
親コメント
たいとる (スコア:1, おもしろおかしい)
統計のマジック (スコア:1, 興味深い)
もちろん、脆弱な点はないにこしたことはないし、発見されたら即パッチを提供すべきであるが。
Re:こういう数字っていみあるの? (スコア:2, すばらしい洞察)
表計算ソフトとか初めて使ったとき
自分のお小遣いの推移を入力してみて無意味にグラフ作ったり、
自分の所有しているDVDの趣向の分布を見てみたり
嬉しがってやんなかった?
そういう類じゃないの?
親コメント
Re:攻撃者の統計 (スコア:2, 興味深い)
うーん、何が言いたいのかわからん。
1. 攻撃者のターゲットにしているブラウザの割合でIEが一番多い場合
->攻撃者が多いんだからIEは危険
2. 攻撃者のターゲットにしているブラウザの割合でIEが一番多く無い場合
->攻撃者が比較的少ない割に"危険日"が多いから、IEは危険
ってなると思うが。攻撃者が多いから欠陥が多く見つかるだけだ。みたいな、IEや他のブラウザ自体の製品品質を問題にするんで無くて、"実際に"危険かどうかで考えるとこうなっちゃうな。
他のコメントみたいに、この統計情報自体の意味や目的・元データの確からしさや処理方法から攻めるべきではないかなぁ。
親コメント
Re:browser security testの結果 (スコア:1)
ただ実際にIEに脆弱性が発見された場合
今でも回避策として「他のブラウザを使え」と
言われるのはたしかなので、両刀使いが
賢明かもしれませんね。特に怪しいサイトに
アクセスされる方は。
#Opera for W-ZERO3からなのでID
親コメント
Re:IEイラネ (スコア:1)
MSがIEから撤退したとすると、FirefoxやOperaにユーザが集まるでしょう。
すると、IEはクラッカーにとっては狙う価値がなくなり、結果として、今のIEの代わりにFirefoxの脆弱性探しが頻繁に行われ、脆弱性に晒される期間が増える=今のIEと同じ状況になると思われます。
Firefoxの場合、誰でも直せる代わりに、誰でもソースが見れる=誰でも脆弱性は見つけられるわけで、やる気さえあればIE以上に脆弱性を探すことは簡単でしょうね。
そんな自分は、Sleipnir2でIEエンジンメインで使ってます。
#先日嫌な目にあったので画像表示以外全部オフですがw
親コメント
Re:IEイラネ (スコア:3, すばらしい洞察)
> ソースが見れることによって多くの人によって検証され、不具合を修正することができます。
最近のオープンソースプロジェクトの失敗例を見ると、昔から言われていた
そのようなオープンソースの優位性は必ずしも正しいとはいえないようです。
オープンソースにしているからといって、皆がソースを読んで不具合を
調べてくれるかといえば、実際にそうしてくれる人は極めて少数です。
これはプロジェクトの規模が大きいほど見られる可能性も減ります。
せいぜい、動作中に目に見える動作不良に遭遇し、その原因を調べるため
ソースを解析するくらいがほとんどで、動作的不具合を発見するだけなら
オープンソースである必要は無いわけです。
ある有名なオープンソースソフトで、世界中で多く利用されている
ソフトの配布サーバが不正侵入され、そのソフトに悪意のトロイの木馬を
仕掛けれらた時、発見者はソースを眺めて発見したわけではありません。
make して起動したら怪しい動作をしたので、以前ダウンロードした
古いソースとdiffを取ってみて改変部分を見つけ、発見したわけです。
この場合改ざん箇所まで調べてからの通報だったわけですが、
クローズソースでも怪しい動作をした段階で開発元に通報は出来ますね。
また、不具合発見者が必ずしも善良な人物で、かつ協力的であるとも限りません。
コミュニティには一切明かさず、自分が悪用する可能性も否定できません。
親コメント
Re:こういう数字っていみあるの? (スコア:3, すばらしい洞察)
数字のマジックとさえ言えないほど。
たとえばFirefoxは2004年8月から今までUnpatchなリモート
からの攻撃が可能な脆弱性があるので、このレポートの危険日の
定義から言えば2004年どころか、2005年も100%危険日です。
IEも同様の理由で、98%どころか100%危険日です。
本当の危険日とは、ベンダーもユーザーもセキュリティサービス
会社も知らない脆弱性に対する攻撃が存在した日でしょう。
たとえばカカクメソッドな会社のシステムの危険日は、侵入から
発覚対応されるまでの数ヶ月間あったといえます。
その定義で言えばIEなら2,3%程度、Mozillaなら1%を切る位
だと思います。
ちゃんと調べてませんがね。
結局何をすればいいとかいうレベルの話ではないです。
MS嫌いのコミュニティがこのレポートを肴にIEの悪口を
言って憂さを晴らそうとか、そういう感じ。
親コメント
Re:IEだろうとFirefoxだろうと (スコア:2, 興味深い)
なんでサービス側の脆弱性(の結果、利用者が被害を受ける事例)と、クライアント側の脆弱性の問題を一緒くたに考えるんですか?
たとえにしても一緒にできる話ではないと思います。
親コメント
Re:IEイラネ (スコア:1)
他のブラウザだって多く使われ始めたらどうなるか分からないよ。(ただオープンソースの方がバグを塞ぐ測度は速いような気がするな。世界中の誰か一人でもいいからデバッグして公開してくれればなんとかなるし)
親コメント