米Oracleの怠慢を批判――「Javaはアンインストールすべき」Microsoftはもはや低セキュリティメーカーではない!

米Microsoft製品のセキュリティ強化が急速に進む。反対に、脆弱性発覚が相次ぐJavaを管理する米Oracleの動きは鈍い。セキュリティに関するベンダー各社の取り組みを追う。

2012年12月20日 08時00分 公開
[Andy Patrizio,TechTarget]

 米Microsoftはここ数年、OSのセキュリティ強化において、かなりいい仕事をしてきた。そのおかげで、マルウェアを使った攻撃は、OSに代わってアプリケーションレイヤーが狙われるようになっている。マルウェア対策ソフトベンダーであるロシアのセキュリティ企業Kaspersky LabsがまとめたITセキュリティ動向に関する最新報告書を見ても、Microsoftのアプリケーションが極めてしっかりとしている一方で、米OracleのJavaや米Adobe Systemsの「Adobe Acrobat」「Adobe Flash」には課題が多いことが分かる。

 報告書によると、2012年第3四半期のエクスプロイトのうち、56%はJavaの脆弱性を、25%は「Adobe Acrobat Reader」(バージョン6からは「Adobe Reader」に名称変更)の脆弱性を悪用していた。MicrosoftのWindowsと「Internet Explorer(IE)」のエクスプロイトが全体に占める割合はわずか4%にとどまり、深刻なエクスプロイトのワースト10の中に同社の名はなかった。

 ワースト10の内訳は、OracleのJava関連が2件、Adobe Flash関連が3件、「Adobe Shockwave Player」とAdobe Reader関連が各1件などとなっている。残る3件は、米Appleの「iTunes」と「QuickTime」、米AOLの音楽再生ソフト「Winamp」だった。

 Kaspersky Labsの上級研究者であるロウル・シュウェンバーグ氏は、Oracleに対して手厳しい批判を浴びせる。「他社がここ数年で多かれ少なかれセキュリティを向上させてきた中で、Oracleには全く動きがない。ソフトウェアのセキュリティを強化するため、あるいは少なくともアップデートの仕組みを改善するための努力を何もしていない。脆弱性への対応も全くなっていない。簡単に修正できる脆弱性があることを知っていながら、何カ月も修正しないまま放置している。端的に言って、Oracleの対応が欠如している以上、Javaをアンインストールするのが最善の策だ」

 実際、Javaをコンピュータから削除しても、ほとんど影響はなさそうだ。オーストリアのQ-Successの調査サービス部門であるW3Techsによると、Javaを使っているWebサイトは全体の2%にすぎない。92%のWebサイトが使っているJavaScriptは、Javaとは全くの別物だ。

 Oracleに何度もコメントを求めたが、返答はなかった。

 一方、Adobeはセキュリティにかなり投資しているとシュウェンバーグ氏は評価する。「Adobe Reader Xへのサンドボックス実装により、Acrobatを標的とすることは極めて難しくなり、結果的にFlashが狙われることが多くなった。Adobeは最近になってアップデートの仕組みも改善している。まだ改善の余地はあるものの、今では随分良好になった」(同氏)

 シュウェンバーグ氏はAppleについても、2012年初めの段階ではセキュリティ対策部門に深刻な不備があったが、ここ数カ月で状況を改善しようとする兆候がうかがえると評価する。

 Microsoftの大きな進歩には、ソフトウェア開発ライフサイクル管理の経験と、毎月第2火曜日に更新プログラムを自動配信する”Patch Tuesday”(訳注:日本では第2水曜日に行われる月例セキュリティ更新)が寄与している。

ITmedia マーケティング新着記事

news024.png

「ECプラットフォーム」 売れ筋TOP10(2024年3月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news090.jpg

GoogleがZ世代のローカル検索でInstagramやTikTokに敗北 なぜこうなった? これからどうなる?
Googleは依然として人気の検索サイトだが、ことZ世代のローカル検索に関しては、Instagra...

news056.png

DE&Iに関する実態調査 「公平」と「平等」の違いについて認知度は2割未満
NTTデータ経営研究所がNTTコム オンライン・マーケティング・ソリューションと共同で実施...