米Oracleの怠慢を批判――「Javaはアンインストールすべき」：Microsoftはもはや低セキュリティメーカーではない！

米Microsoft製品のセキュリティ強化が急速に進む。反対に、脆弱性発覚が相次ぐJavaを管理する米Oracleの動きは鈍い。セキュリティに関するベンダー各社の取り組みを追う。

[Andy Patrizio，TechTarget]

　米Microsoftはここ数年、OSのセキュリティ強化において、かなりいい仕事をしてきた。そのおかげで、マルウェアを使った攻撃は、OSに代わってアプリケーションレイヤーが狙われるようになっている。マルウェア対策ソフトベンダーであるロシアのセキュリティ企業Kaspersky LabsがまとめたITセキュリティ動向に関する最新報告書を見ても、Microsoftのアプリケーションが極めてしっかりとしている一方で、米OracleのJavaや米Adobe Systemsの「Adobe Acrobat」「Adobe Flash」には課題が多いことが分かる。

　報告書によると、2012年第3四半期のエクスプロイトのうち、56％はJavaの脆弱性を、25％は「Adobe Acrobat Reader」（バージョン6からは「Adobe Reader」に名称変更）の脆弱性を悪用していた。MicrosoftのWindowsと「Internet Explorer（IE）」のエクスプロイトが全体に占める割合はわずか4％にとどまり、深刻なエクスプロイトのワースト10の中に同社の名はなかった。

関連記事

• 狙われるAdobe製品とJavaの脆弱性
• FlashやAcrobatの使用禁止はマルウェア感染防止に効くのか？

　ワースト10の内訳は、OracleのJava関連が2件、Adobe Flash関連が3件、「Adobe Shockwave Player」とAdobe Reader関連が各1件などとなっている。残る3件は、米Appleの「iTunes」と「QuickTime」、米AOLの音楽再生ソフト「Winamp」だった。

　Kaspersky Labsの上級研究者であるロウル・シュウェンバーグ氏は、Oracleに対して手厳しい批判を浴びせる。「他社がここ数年で多かれ少なかれセキュリティを向上させてきた中で、Oracleには全く動きがない。ソフトウェアのセキュリティを強化するため、あるいは少なくともアップデートの仕組みを改善するための努力を何もしていない。脆弱性への対応も全くなっていない。簡単に修正できる脆弱性があることを知っていながら、何カ月も修正しないまま放置している。端的に言って、Oracleの対応が欠如している以上、Javaをアンインストールするのが最善の策だ」

関連記事

• Java狙いの攻撃が活発化、米Oracleはどう対処している？
• Oracleの四半期パッチはどのくらい重要か
• 高可用性とセキュリティはSQL ServerよりもOracle DBが充実

　実際、Javaをコンピュータから削除しても、ほとんど影響はなさそうだ。オーストリアのQ-Successの調査サービス部門であるW3Techsによると、Javaを使っているWebサイトは全体の2％にすぎない。92％のWebサイトが使っているJavaScriptは、Javaとは全くの別物だ。

　Oracleに何度もコメントを求めたが、返答はなかった。

　一方、Adobeはセキュリティにかなり投資しているとシュウェンバーグ氏は評価する。「Adobe Reader Xへのサンドボックス実装により、Acrobatを標的とすることは極めて難しくなり、結果的にFlashが狙われることが多くなった。Adobeは最近になってアップデートの仕組みも改善している。まだ改善の余地はあるものの、今では随分良好になった」（同氏）

関連記事

• セキュリティ強化のはずが逆効果？　HTML5「サンドボックス」の盲点
• アプリの“自滅”でOS保護、進化する「サンドボックス」

　シュウェンバーグ氏はAppleについても、2012年初めの段階ではセキュリティ対策部門に深刻な不備があったが、ここ数カ月で状況を改善しようとする兆候がうかがえると評価する。

　Microsoftの大きな進歩には、ソフトウェア開発ライフサイクル管理の経験と、毎月第2火曜日に更新プログラムを自動配信する”Patch Tuesday”（訳注：日本では第2水曜日に行われる月例セキュリティ更新）が寄与している。