Webブラウザのセキュリティ――期待しすぎは禁物：Column

どんなに技術が進歩しても、欠陥のないブラウザの作成は不可能だ。われわれはインターネットにはリスクがつきまとうことを肝に銘じるべきだろう。

[Michael Cobb，TechTarget]

　Webブラウザが初めて登場した当時、アプリケーションレイヤの攻撃はまれにしか発生していなかった。今ではブラウザは、あらゆる人のコンピュータ上で最も重要で最もよく使われる部類のソフトウェアだ。そのため攻撃の標的となっている。

　コンピュータセキュリティ業界の奮闘をよそに、ブラウザの欠陥は後を絶たない。既にマイクロソフトのInternet Explorer（IE） 7でも新しいものがたびたび見つかっており、Firefoxは業界専門家と攻撃者からますます厳しくチェックされるようになっている。ブラウザベンダーが、欠陥のないコードの作成という不可能な課題に直面しているのに対し、ハッカーは、エラーを1つ見つけるだけで攻撃の糸口をつかめる。マルウェアを犯罪組織に販売する「サービスとしての攻撃コード」ビジネスの登場も相まって、より優れたWebブラウザとブラウザセキュリティを求める声が高まっている。

　では、理想のブラウザがあるとしたら、それは現在われわれが使っているものとどう違うのか。マイクロソフトが、更新プログラムをインターネットから自動的にダウンロードしてインストールできるようにすることで、同社のソフトウェアへのパッチ適用を容易にしたのは確かだ。また、同社が新たに導入した、ソフトウェアを「サンドボックス」内で動作させる機能は、悪意あるプログラムがIE 7を不正に操作できる場合でも、被害を限定的なものにするだろう。だが、これらに加えてさらに何が必要なのか。