Chrome and Its Vulnerabilities – Is the Web Browser Safe to Use?
2023/06/21 SecurityWeek — 多くの主要なアプリケーションと同様に、Google Chrome も、その脆弱性に悩まされている。2022年に SecurityWeek が報告した Chrome の脆弱性は、456件 (1ヶ月あたり 38件) にのぼるが、その中には9件のゼロデイも含まれる。パッチが必要な脆弱性の多い Chrome は、はたして安全なのだろうかという、素朴な疑問を投げかける。
この高い割合の脆弱性の公開とパッチ適用は、2023年になっても続いている。Chrome 109 は、2023年1月に 17件のパッチを適用した。Chrome 110 は2月に 15件のパッチを、Chrome 111 は 3月に 40件のパッチを、Chrome 112 は 4月に 16件パッチを当てた。なお、4月には、2023年の2番目のゼロデイ脆弱性にもパッチが適用された。Chrome 113 は 5月に 15件の脆弱性にパッチを当て、さらに12件のパッチを当てた。6月には、Chrome 114 で、2023年の3番目のゼロデイを含む、5件のパッチが適用された。
このリストは、あまりに長く、退屈な繰り返しになりそうだが、間違いなく今年も、そして来年以降も増え続けるだろう。しかしながら、提起される疑問は退屈なものではない。なぜこれほど多くの脆弱性があるのか? Chrome は安全に使えるのか? Google は、製品をより安全にするために何をできるのか?ユーザーは安全性を高めるために何をできるのか? SecurityWeek は、イスラエルのテルアビブを拠点とする Perception Point の CTO である Tal Zamir に話を聞いた。
大量の脆弱性が生じた理由は、コードベースの大きさ/ターゲットの魅力/それを使う人の数の組み合わせの、単なる統計でしかない。
Zamir は、「Chrome は、長い年月をかけて、巨大なコードベースに成長した。その規模は、Windows のような OS にも匹敵するほどだ。Chrome は一見シンプルだが、実際にはモンスター級のアプリケーションなのである。Chrome は、エンタープライズ・ コンシューマに関わらず、多くのユーザーのオンライン活動で、広範に使用されている」と述べている。
コードベースが大きくなればなるほど、脆弱性の数も増える。それがコンピューティングの現実だ。アプリケーションが使われれば使われるほど、それを攻撃する方法を探す攻撃者の数は増える。その中には犯罪者も国家も含まれ、また、避けられるものではない。2023年5月の Statcounter の調査によると、Chrome は世界のブラウザ市場で 62.87% のシェアを誇っており、それは注目に値する強さである。続く 2位 は Safari (20.7%)で、3位は Microsoft Edge (5.32%) だった。
Google がコードの安全性を確保するために、いま以上に努力するとは思えない。これもまた、ビジネスでは避けられないことである。Google がセキュリティを優先するなら、新機能を導入する量と速度を低下させる必要性が生じる。その一方で、Microsoft はブラウザ市場において、常にキャッチアップ・モードにあったが、今では自社製品への AI の最適な (つまり、最も収益性の高い) 統合をめぐる本格的な戦いが始まっている。
Zamir は、「Microsoft は、Google に対して本気の戦いを挑んでいる。これは特に企業分野でのことだが、Microsoft のバンドルに誘惑されている消費者にとっても同様である。私は、Google がブラウザ分野で首位の座を維持し、戦い続けることが、いまよりも難しくなると予測している。この戦いにおいて、Google は新機能を追加し、さらに速く革新しようとするだろう。その際に、セキュリティは二の次になるのが普通だ。スピードこそが必要なのだ。最先端のものをユーザーに提供する必要があり、セキュリティは遅れてしまうかもしれない。それは、Google がセキュリティを軽視するという意味ではない。しかし、セキュリティは新機能の二の次になるだろう」と述べている。
Chrome のセキュリティに対する事後的なアプローチについて、Google を非難すべきではない。同社は、自社の研究チームやバグ報奨金プログラムにより脆弱性を探し、攻撃者に悪用される前に修正し、パッチを当てるという方針をとっている。
これは、プロアクティブなアプローチではなく、リアクティブなアプローチである。Google 自身は、ビジネスの現実から、セキュリティに関して消極的であることを余儀なくされている。この場合においては、アプリケーションとユーザーを保護するために、Perception Point のような、専門的なセキュリティ製品を必然的に追加されることになる。
小規模なセキュリティ企業が Chrome を保護できるのであれば、なぜ世界最大級のデベロッパーである Google が、Chrome の内部での保護を促進できないのだろうか?
Zamir は、「何年にもわたり、Google がエンジニアリングに投資しようと思えば、間違いなくできる」と指摘する。
技術的には可能だが、経済的には不可能だ。Chrome にとっての “最先端のもの“ とは、ユーザーにとって魅力的な追加機能だ。目に見えないように組み込まれた複雑なセキュリティ制御は、それには該当しないため、常に優先順位の下に押しやられる。しかし、サードパーティのセキュリティ・ベンダーにとっては、セキュリティこそが “最先端の” ものなのだ。
これが現代のサイバーセキュリティの現実だ。どのようなアプリケーションにおいても、安全であるというのは仮説に過ぎず、アプリケーション・ベンダーがユーザーの安全を守れるとは限らない。すべてのユーザーは、自分が使用する製品のセキュリティに対して自己責任を負わなければならない。この議論のために、Google Chrome が選ばれたことは不運なことかもしれない。つまり、この原則は、あらゆる商用アプリケーションに該当することでもある。
ソフトウェアを使う、あるいは、インターネットを使う上で、ユーザーとして覚悟しておくべきことを、しっかりと書いてくれた、ちっとコマーシャルが入っているとは言え、なかなか良い記事だと思います。たしかに、引き合いに出された Chrome が可哀想といえば可哀想ですが、Google が広告の会社であるが故の、クッキーに対する甘さと、アプリケーションが走るレイヤを、OS からブラウザに移行させようという、ChromeOS の展開を含めた目論見が、ことを複雑化させていると思います。特に後者のエクステンションは、このまま放置すると、Google Play みたいになってしまいそうだと心配しています。とにかく、アプリもエクステンションも、インストールするものを必要最小限に抑えるということが、ユーザー自身を守る第一歩かなのかと思います。
IoT OT Security News 
You must be logged in to post a comment.