ブラウザの危険日 99
ストーリー by Oliver
今日もダメ 部門より
今日もダメ 部門より
shesee曰く、"暗号技術の専門家であり、多くの暗号に関する著書もあるブルース・シュナイアーが2006年1月15日付けのCrypto-Gram News letter(日本語訳)で言及したところによれば、ベルギーのセキュリティー関係の企業scanitが2005年8月に発表したbrowser security testのレポートにおいて、2004年の一年間、Microsoft社のInternet Explorerが、既知のセキュリティー上の欠陥を持たなかった期間(すなわちパッチをすべて当てた状態において、なおかつ未修正の既知の欠陥を持たなかった期間)はわずか2%であり、98%の期間は攻撃される可能性があった。(付け加えれば、54%の期間は、実際に攻撃可能なコードが存在した)対してMozillaは同様の期間が15%、Operaが17%に限られたことが報告されている。
これは、scanitが提供してるbrowser security test(閲覧したブラウザが既知の欠陥を持つかどうか表示するページ)の報告に付随するものであり、実際にテストを行ったブラウザのリスク分布を示したRisk distributionの表は真っ赤で空恐ろしいものがある。"
IE+AntiVirusの場合は? (スコア:3, 興味深い)
それによってブラウザ、とりわけIEの評価が変わるわけではありませんが、対策ソフトがどのくらい効果的なのか、同じ尺度で測れるかもしれません。
また、Linux+FireFox などの場合も知りたいですね。
# なにか勘違いしていたらお許しを!
補足 (スコア:4, 参考になる)
「98%」とかいうのは、test結果を反映したものではないんです。ちょっと回り道になるけど、この調査について補足しておきましょう。
調査報告(全5ページ)の1ページ目のグラフは、browser security test結果の統計 [scanit.be]です。上のほうのグラフについて、年末にテストを受けた数が伸びたのは/.本家で紹介されたからだとか、そこでMozillaが急激に伸びてるのは/.がLinuxびいきだからとか、全体を見ればOSはWindowsが大多数だったとか、そういった内容が書かれています。
そのページの一番下に、test結果のリスク分布のグラフがあります。このグラフで、重大度が高いことを示す赤が拡大している期間がありますが、これはIEの脆弱性の公表・修正の時期と一致しています。
そこで報告後半では、各ブラウザの脆弱性の公表・修正の時期(つまり、バグの寿命)をまとめています。こちらはtest結果とは関係なく、各ブラウザに「リモートでコードが実行される脆弱性」が存在する期間をまとめたものです(報告の3~5ページ目; Internet Explorer [scanit.be]、Mozilla [scanit.be]、Opera [scanit.be])。
各ブラウザのまとめにある表の色分けされたタイムラインは、脆弱性が発見・公表された経緯を表しています。
で、ブラウザに脆弱性が一つでも存在する期間の長さを見ると、IEは2004年の98%が危険日だったなどのことがわかった、というものです。
Re:補足 (スコア:2, 興味深い)
続き。「危険日は何%」などとあるから「IE+セキュリティ対策ソフトで何%まで危険を減らせるのか」と気になりますが、この数字は「各ブラウザの開発チームが脆弱性の修正をどれだけ上手くやっているかを示す指標の一つ」と見るほうがよいのではないか、と思います。
Re:IE+AntiVirusの場合は? (スコア:0)
# コメントへのツッコミは不粋なのでAC
Re:IE+AntiVirusの場合は? (スコア:1)
# atokを学習させてしまってました・・・。
実際に被害にあう確率は? (スコア:3, 興味深い)
指標毎に違う結果がでるので、参考程度にしかならないのではないでしょうか?
いっそ、ドレークの方程式みたいに計算したら面白いかも。
f(x) = a * b * c * d * e
f(x) : 被害規模
a : 攻撃者がそのブラウザをターゲットにする確率
b : 攻撃者がウィルスを作成する速度
c : ブラウザのセキュリティホールの数
d : ブラウザのセキュリティホールの対応速度の逆
e : ブラウザのセキュリティホールの平均被害金額
e : ブラウザの平均使用時間
# 次元すら考えていない超適当な数式だけど、敢えてID
--- 駆り立てるのは納期と仕様変更。横たわるのはPGとSE。
Re:実際に被害にあう確率は? (スコア:5, おもしろおかしい)
xはどこだ
-- 雪のない富士山もきれいだな
Re:実際に被害にあう確率は? (スコア:3, おもしろおかしい)
> e : ブラウザの平均使用時間
ゆえに、ブラウザのセキュリティホールの平均被害金額は、ブラウザの平均使用時間に比例することが証明された。
OSの脆弱性をそのまま引き継いでいる (スコア:2, 興味深い)
IEの場合は、OSの脆弱性をそのまま引き継いでいる場合があるのが弱みかなぁ。言い換えれば、OSの各種APIを実装したライブラリが、IEのように信頼できない外部からバカスカとファイルデータなどを受け取るようなレベルで設計してなかったとか。
Re:OSの脆弱性をそのまま引き継いでいる (スコア:2, すばらしい洞察)
MSは素直にOSだけを販売していて欲しかった。ブラウザは別売りのままであって欲しかった。いっそのことブラウザは他の会社にまかせっきりにしていて欲しかった。
もう、後の祭りですけど。
Re:OSの脆弱性をそのまま引き継いでいる (スコア:2, すばらしい洞察)
Windows Vistaより後のバージョンでは分離するオプションを提供して欲しいものです。
Super Souya
Re:OSの脆弱性をそのまま引き継いでいる (スコア:1, オフトピック)
・FireFox等他のブラウザは使ってる人が少ないから報告される脆弱性は少ないが、危険も多く残っている
というような議論をよく見ますが、
本質的にIEは脆弱性を含みやすいしダメージもでかい、いくらパッチあてても脆弱性が残りそうな"気がする"し、
他のブラウザはいずれ完璧に脆弱性がとれるし、やられてもダメージが少ない"気がする"
感覚的にそういう気がするだけで"断言"はできませんが。
もうセキュリティーでどうこう言うの辞めません? (スコア:2, すばらしい洞察)
実際に98%の期間が存在したのであれば、もっと攻撃を受けている人がいてもおかしくない。
しかし実際にはほとんど攻撃を受けていない。
と言う事は98%の期間と言えどもワームとかの部類ではなく、特定サイトに埋め込まれるコードや、単なるフィッシングなどそう言う部類の攻撃を受ける可能性なだけなのは確実。
しかもサードパーティー製ソフトと連携させれば防げるものばかり。
Firefoxを信奉してる人の言う意見はもうあまり誰も信用しませんよ。
セキュリティーで優位だと思い込めばセキュリティーをしつこくいい、そうでもなかったら機能面をしつこく言う。
一連の流れがしらけるものだったのは確実です。
もうそろそろブラウザと言うものを主眼に考える事を、改める必要があるのではないでしょうか。所詮ブラウザができる事は究極的にはネットを見るだけに過ぎません。
もっと高いレベルでのオープンソースソフトウェアの開発の盛り上がりを期待したいです。まさに新境地と言うソフトウェアを。
今のままじゃ、なんのためのオープンソースなのかが揺らぎます。
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:3, 興味深い)
Firefoxはそれ自体の脆弱性しかカウントしていないとか、
IEの場合はMSが脆弱性とは認識していないものまでカウントしたり、
MS嫌いの脆弱性発見者がMSに知らせる前に公表してしまうなどで
結果的に危険日が多くなってしまっている。
既知の脆弱性というのは広く知られている脆弱性というだけであり、
その脆弱性が新たに生まれたというケースはとても少ない。
すなわち一般には知られていないが知ってる人はいる脆弱性が
あるかもしれない。
そう考えるとIEだろうがFirefoxだろうが、脆弱性を持っていなかった
安全日なんて0に近いわけだ。
現在、FirefoxがIEと比較して安全度が高いのは確かかもしれない。
しかしそれも一時的なものであり、それを取り巻く状況が変わったら
その評価も変わってくるのは確か。
Firefoxのシェアが20%を超えたくらいにでもなれば、悪意の攻撃者も
攻撃対象として狙う確率が急増するだろう。
愉快犯より金銭狙いのネット泥棒が増えている近年。
泥棒はお金さえ盗めればブラウザがIEなのかFIrefoxなのかんんて
関係ないわけで。
それならば脆弱性の詳細がソースごと公開されているFirefox
のほうが攻撃しやすいわけ。
リバースエンジニアが必要なクローズドソース製品を調べるより、
オープンソース製品のほうが0-day-attackな脆弱性を探すのが
比較的楽なのは確か。
それにネット泥棒たちが気づいたときには危険度は逆転する恐れも。
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:2, すばらしい洞察)
> オープンソース製品のほうが0-day-attackな脆弱性を探すのが比較的楽なのは確か。
全く同じ理由で、オープンソース製品の方が脆弱性が修正されやすいと見る向きもありますが…
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:2, すばらしい洞察)
困ったことに、いくら迅速かつ的確に修正されてもユーザーがアップデートしなかったら意味ないんですよね。
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:1, 参考になる)
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:1)
だから、どうなのって感じ。自動にしたからといって、アップデートしたくない人もい
るでしょうに。
Windowsでもアップデートをしない人には、しないなりの理由があったりするわけで。
特に、サービスパック系のアップデートは、特定のプロジェクト終了まで禁止されたり。
#もう、数年前の状況なので、今は違うのかも知れないけど。
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:1, すばらしい洞察)
設定で自動アップデートをキャンセルすれば良いのです。
それすらできないような人は、自動アップデートを切るべきではないのです。
そこまで言い切るにはまだ早いと思いますけどね。
アップデートに伴う諸問題は色々あるようですし、
その辺りを解決しないことには。
害がなければセキュリティをどうこう言う必要はないでしょうね (スコア:2, すばらしい洞察)
マイクロソフトはブラウザだけでなくOSも販売してる上に
ブラウザのシェアを1位にするために頑張っていた過去があるので、
シェアの関係でセキュリティを狙われ易いなら
その対策を行う義務があるかと思います。
そもそもOSやIEが危険だと書いていないためサードパーティ製ソフトを
使用していない人はまわりでもいるので、サードパーティ製ソフトの
使用を前提に語られてもなあと思います。
>所詮ブラウザができる事は究極的にはネットを見るだけに過ぎません。
そうかもしれないですが、「ネットを見るだけ」の中に銀行の口座を操作するということ等も含まれてますよね。
お金に絡むこともできるので、乱暴な議論に思えます。
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:2, 興味深い)
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:1, すばらしい洞察)
ぶっちゃけ、FirefoxのようなIEよりもシェアの小さいブラウザを使っている人が高い意識とは何でしょうか?
人に言われたからなんとなくIE使用をやめている人がセキュリティに対する意識が高いとは到底言えないですし(ソーシャルハッキング的にかなり脆弱であるとさえいえる)。
数ヶ月前にインストールしたと思われる1.0.2とか使ってる人もいるところをみると、安全だからではなくタブ機能を気に入ってるだけなんじゃないかとかすら思えます。
IEはFirefoxに比べて狙われる危険が高いからと気をつける人と、Firefoxは安全だと聞いたから安心だなんて思っている人とでは、狙われるのはどちらでしょうね。
ネット取引の銀行やクレジットカード決済はIEしか対応していないところも非常に多い。
IEが多く狙われるのはそれが理由。IEがFirefoxと比べてずば抜けて脆弱というわけではないのです。
Firefoxに対応する銀行が増えてくると、狙われる理由ができますね。
Firefoxを狙わないのはユーザのセキュリティ意識が高いからではないのですよ、残念ながら。
とはいえ、IEユーザが高いというわけでもありません。
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:1)
>IEはFirefoxに比べて狙われる危険が高いからと気をつける人と、
>Firefoxは安全だと聞いたから安心だなんて思っている人とでは、
>狙われるのはどちらでしょうね。
そもそも一番目の人は何を使おうが注意を怠らないだろうし,二番目のような人は何を使っても危険なわけだから,そんな議論はナンセンスですね.でも二番目のような人でも多少はセキュリティに関心を持って行動をとったわけで,少なくとも底辺の部分ではIE以外のユーザの方が意識は高いと思います.自分だったら経験が浅く「セキュリティ?何それ?」って人を最初に狙います.それが最も効率的で確実です.そしてそういうカモを狙うならIEを狙うのが一番です.IE以外だとプラットフォームも分散してますし.
Re:もうセキュリティーでどうこう言うの辞めません? (スコア:2, 興味深い)
マテ。「ほとんど攻撃を受けていない」って何で言い切れるん? 攻撃を受けていたかどうか、被害を被っていたかどうかも分からずに使い続けている可能性だって十分あるはずやん。
なんぼフィッシングされて個人情報かすめ取られたかて気づかれんことには被害の統計にも反映されんのやでー。
むらちより/あい/をこめて。
たいとる (スコア:1, おもしろおかしい)
Re:たいとる (スコア:0)
#などと素で思ってしまったので絶対AC
統計のマジック (スコア:1, 興味深い)
もちろん、脆弱な点はないにこしたことはないし、発見されたら即パッチを提供すべきであるが。
Re:統計のマジック (スコア:1, オフトピック)
こちらとしては「ふーん」としか言い様がない。
プロセスの詳細が分からない限り、
結果の数値には何の意味もないですから。
Re:統計のマジック (スコア:1, おもしろおかしい)
だから (スコア:0)
#これはやっぱりAC
攻撃者の統計 (スコア:0, オフトピック)
Re:攻撃者の統計 (スコア:2, 興味深い)
うーん、何が言いたいのかわからん。
1. 攻撃者のターゲットにしているブラウザの割合でIEが一番多い場合
->攻撃者が多いんだからIEは危険
2. 攻撃者のターゲットにしているブラウザの割合でIEが一番多く無い場合
->攻撃者が比較的少ない割に"危険日"が多いから、IEは危険
ってなると思うが。攻撃者が多いから欠陥が多く見つかるだけだ。みたいな、IEや他のブラウザ自体の製品品質を問題にするんで無くて、"実際に"危険かどうかで考えるとこうなっちゃうな。
他のコメントみたいに、この統計情報自体の意味や目的・元データの確からしさや処理方法から攻めるべきではないかなぁ。
こういう数字っていみあるの? (スコア:0)
だから結局どうすりゃいいの?
使わない方がいい、ってこと?
Re:こういう数字っていみあるの? (スコア:3, すばらしい洞察)
数字のマジックとさえ言えないほど。
たとえばFirefoxは2004年8月から今までUnpatchなリモート
からの攻撃が可能な脆弱性があるので、このレポートの危険日の
定義から言えば2004年どころか、2005年も100%危険日です。
IEも同様の理由で、98%どころか100%危険日です。
本当の危険日とは、ベンダーもユーザーもセキュリティサービス
会社も知らない脆弱性に対する攻撃が存在した日でしょう。
たとえばカカクメソッドな会社のシステムの危険日は、侵入から
発覚対応されるまでの数ヶ月間あったといえます。
その定義で言えばIEなら2,3%程度、Mozillaなら1%を切る位
だと思います。
ちゃんと調べてませんがね。
結局何をすればいいとかいうレベルの話ではないです。
MS嫌いのコミュニティがこのレポートを肴にIEの悪口を
言って憂さを晴らそうとか、そういう感じ。
Re:こういう数字っていみあるの? (スコア:1, すばらしい洞察)
“そういう”問題なんですが。
Re:こういう数字っていみあるの? (スコア:2, すばらしい洞察)
表計算ソフトとか初めて使ったとき
自分のお小遣いの推移を入力してみて無意味にグラフ作ったり、
自分の所有しているDVDの趣向の分布を見てみたり
嬉しがってやんなかった?
そういう類じゃないの?
Re:こういう数字っていみあるの? (スコア:1, 参考になる)
ブラウザがウイルスの感染やデータ漏洩の
元となる危険性に常に晒されると言う問題を啓発する意味において
重要な意味があります
誰もこのような統計を取らなければ
「なんとなく危険なんですよ」とか
「結構他所でも問題になってます」とかしか説明できませんよね
実際に危険である統計が出れば統計を示して
過去の結果はこうだったと言えるわけです
Re:こういう数字っていみあるの? (スコア:0)
統計というか、データーを集計して整理するというは、その情報を提示するという意味で意味があるじゃん。
問題は、ただ一枚のデーターだけでは主義主張がないというか、主義主張を作るだけのストーリーを作れてないってところにあるのだが。だから、何をすればいいのか僕らがわからないわけだが。(相手が何を主張したいのか)
でも、主張がないからっていって、情報には意味がないっていたら、新聞でもなんでも、「じゃ、結局僕らは何をし
browser security testの結果 (スコア:0)
Browser name: Firefox
Version: 1.5.0.1
Platform: Windows
で
High Risk Vulnerabilities 1 (Java pluginのupgradeしとけというもの)
Medium Risk Vulnerabilities 0
Low Risk Vulnerabilities 0
Browser name: MSIE
Version: 6.0
Platform: Windows NT 5.1
で
High Risk Vulnerabilities 0
Medium Risk Vulnerabilities 0
Low Risk Vulnerabilities 0
だったが・・・
Re:browser security testの結果 (スコア:1)
ただ実際にIEに脆弱性が発見された場合
今でも回避策として「他のブラウザを使え」と
言われるのはたしかなので、両刀使いが
賢明かもしれませんね。特に怪しいサイトに
アクセスされる方は。
#Opera for W-ZERO3からなのでID
Re:IEイラネ (スコア:1)
MSがIEから撤退したとすると、FirefoxやOperaにユーザが集まるでしょう。
すると、IEはクラッカーにとっては狙う価値がなくなり、結果として、今のIEの代わりにFirefoxの脆弱性探しが頻繁に行われ、脆弱性に晒される期間が増える=今のIEと同じ状況になると思われます。
Firefoxの場合、誰でも直せる代わりに、誰でもソースが見れる=誰でも脆弱性は見つけられるわけで、やる気さえあればIE以上に脆弱性を探すことは簡単でしょうね。
そんな自分は、Sleipnir2でIEエンジンメインで使ってます。
#先日嫌な目にあったので画像表示以外全部オフですがw
Re:IEイラネ (スコア:1)
これってFirefoxの(実現不可能に近い)ベストシナリオじゃないですか?
> Firefoxの場合、誰でも直せる代わりに、誰でもソースが見れる=誰でも脆弱性は見つけられるわけで
ここで「目の数が多いほど、バグが見つかりやすいし修正も早い」
って言葉を思い出してくださいよ。意図的に省いてるんでしょうけど。
Firefoxはそれほどセキュアじゃないと主張するのは結構なんですが、MSのGet the Facts
を彷彿とさせる議論を持ってくるのはやめましょうよ。代理戦争じみてきます。
#セキュリティに関しては、使う人の意識が重要でFAなのでは
Re:IEイラネ (スコア:1)
実際問題として、私の周りでFirefoxを使っている(結構推進している)人に、
ソースを見てみたことがあるのかと聞いてみましたが、10名中10名が見たことは無いと
いいました。(母数は少ないですが、彼らはプログラマです。)
言われているほどには、目の数は多くないんじゃないのかなと。
Re:IEイラネ (スコア:0)
これは欠点ではありませんよ。
PCに疎い人はソースが見れると危ない、と考えるかもしれませんがそれは間違いです。
ソースが見れることによって多くの人によって検証され、不具合を修正することができます。
IEのようにソースを隠すことによって安全性を確保する場合、 確かに脆弱性は発見されにくいのですが、 危険性は潜んだままになってしまいます。
クラッカーにとってはそれはとても都合の良いことなんです。
暗号などもアルゴリズムを隠して解読を困難にするより、 アルゴリズムを公開して多くの人に強度を確認してもらったほうが安全でしょ?
Re:IEイラネ (スコア:3, すばらしい洞察)
> ソースが見れることによって多くの人によって検証され、不具合を修正することができます。
最近のオープンソースプロジェクトの失敗例を見ると、昔から言われていた
そのようなオープンソースの優位性は必ずしも正しいとはいえないようです。
オープンソースにしているからといって、皆がソースを読んで不具合を
調べてくれるかといえば、実際にそうしてくれる人は極めて少数です。
これはプロジェクトの規模が大きいほど見られる可能性も減ります。
せいぜい、動作中に目に見える動作不良に遭遇し、その原因を調べるため
ソースを解析するくらいがほとんどで、動作的不具合を発見するだけなら
オープンソースである必要は無いわけです。
ある有名なオープンソースソフトで、世界中で多く利用されている
ソフトの配布サーバが不正侵入され、そのソフトに悪意のトロイの木馬を
仕掛けれらた時、発見者はソースを眺めて発見したわけではありません。
make して起動したら怪しい動作をしたので、以前ダウンロードした
古いソースとdiffを取ってみて改変部分を見つけ、発見したわけです。
この場合改ざん箇所まで調べてからの通報だったわけですが、
クローズソースでも怪しい動作をした段階で開発元に通報は出来ますね。
また、不具合発見者が必ずしも善良な人物で、かつ協力的であるとも限りません。
コミュニティには一切明かさず、自分が悪用する可能性も否定できません。
Re:IEイラネ (スコア:1)
んー・・・PCに疎いつもりはないんですがねぇ・・・。
仮にもオープンソースなプロジェクトに参加してた身なんで。
というのは置いておいて、オープンソースの利点が成立するのは、あくまでも性善説が前提として成り立っている場合です。
今後IEから移っていく人が、今Firefoxを使ってるような「結構詳しい人」たちならいいのですが、必ずしもそうではないです。
悲しい話ですが、アップデートすらろくにしない人って結構います(友人の家に行ったとき、Windows UpdateすらしてないPCを平気で使ってるのを見て呆れたことがあるので、あながち考えすぎではないはず)。
なので、どのブラウザを使えば安全だという話ではなく、使う人間の意識の問題だということを言いたかっただけです。別にFirefoxが嫌いなわけでもないです。
そりゃもちろん、OSと分離されてるFirefoxの方が脆弱性があっても深刻的なことにはなりにくいですし。
#マナベにまなべ。 [checkpc.jp]とかいうのを経済産業省がTVでCMしてますが、あーいう風に一般の人の目に触れやすい媒体で流すことでセキュリティ意識が向上することはいいことですね。
Re:IEイラネ (スコア:1)
他のブラウザだって多く使われ始めたらどうなるか分からないよ。(ただオープンソースの方がバグを塞ぐ測度は速いような気がするな。世界中の誰か一人でもいいからデバッグして公開してくれればなんとかなるし)
何を使っても大差ない (スコア:0)
絶対安全なものなんてない。
Re:無題 (スコア:0, オフトピック)
>現実の人間関係が破綻したりしませんか。
私のような二次元恋愛に向かう者が
破綻して困るほど深い人間関係を築けるとでもお思いですか?w
だいたい、二次元恋愛に向かう時点でもう破綻済みですよ。
Re:IEだろうとFirefoxだろうと (スコア:2, 興味深い)
なんでサービス側の脆弱性(の結果、利用者が被害を受ける事例)と、クライアント側の脆弱性の問題を一緒くたに考えるんですか?
たとえにしても一緒にできる話ではないと思います。