今年のPwn2Ownハッキングコンテストでは、無傷で逃れたターゲットは存在しませんでした。ハッキングチームはWindows、Mac OS X、Flash、Safari、Edge、Chromeに21件の脆弱性を発見し、総額46万ドルの賞金を獲得しました。
Windowsは依然として最もハッキングしやすい
脆弱性の数という点でオペレーティングシステムとブラウザを比較するのは公平ではありませんが、オペレーティングシステムは攻撃対象領域がはるかに広いため、それらの脆弱性を利用してブラウザを攻撃することができます。そのため、Pwn2Ownブラウザハッキングコンテストでは、オペレーティングシステムへの攻撃も許可されています。
ハッカーたちはWindows 10に6つの脆弱性を発見しました。これは、今回のコンテストで単一のターゲットに発見された脆弱性としては最多です。しかし、AppleのMac OS Xにもそれほど差はなく、5つの脆弱性が発見されました。
Edge、Safariへの攻撃成功
Safariは3回攻撃を受け、いずれも成功しました。Microsoftの新しいEdgeブラウザは、以前のブラウザに比べて攻撃が困難であることが判明しましたが、それでも2回の攻撃で成功しました。
MicrosoftはEdgeにおいて、Internet Explorerに見られるレガシーコードのほとんどを廃止したため、より安全であることは当然期待できます。しかし、ハッカーたちはEdgeをそれほど重視していなかったようにも見えます。おそらく、Edgeを破るのは困難だと考えていたためでしょう。次回のPwn2Ownコンテストでは、Edgeが他のほとんどのブラウザよりも一貫して安全であるかどうかを見守る必要があるでしょう。
Chromeは依然としてセキュリティの王者
Chromeは最初からセキュリティを念頭に置いて開発され、長年にわたり、総合的に見て最も安全なブラウザであることが証明されてきました。メモリを過剰に消費するとしばしば批判されてきたサンドボックスシステム、大規模な開発チーム、そしてブラウザの大部分がオープンソースであることなどが、Chromeのセキュリティ強化に役立っています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ハッカーたちはChromeを2回攻撃しました。1回は失敗し、もう1回は部分的に成功したと判断されました。この脆弱性は既にGoogleに個別に開示されており、Pwn2Ownの目的はソフトウェアベンダーがゼロデイ脆弱性を発見することです。
Firefox はどこですか?
今年のPwn2Ownでは、Firefoxが欠落していることに気づきました。どうやらスポンサーはFirefoxを攻撃対象としてあまりにも容易だと考えていたようで、過去1年間、セキュリティ面で大きな改善は行われていません。
Firefoxは、これまでずっと遅れていたElectrolysis部分サンドボックスアーキテクチャをFirefox 43に追加する予定でしたが、バージョン45まで延期されました。しかし、現在Firefox 45であるにもかかわらず、Electrolysisはブラウザでデフォルトで有効化されていません。Firefoxはサンドボックスシステムを搭載していない数少ない主要ブラウザの一つであり、競合ブラウザと比較してセキュリティ上の脆弱性にさらされる可能性が高くなっています。
しかし、Firefoxが最終的にElectrolysisをデフォルトで採用したとしても、ChromeやEdgeのようにタブごとに完全なサンドボックスが構築されるわけではなく、部分的なサンドボックスとなるでしょう。Electrolysisでは、単一の「コンテンツプロセス」(すべてのタブのコンテンツを含む)をブラウザの他の部分から分離することが可能になります。このサンドボックスシステムは、現在、今年半ばにリリースされる予定です。
Firefoxに完全なサンドボックスシステムを導入する上で最大のハードルは、古いアドオンモデルです。FirefoxのアドオンのほとんどがChromeのような拡張機能に移行するまで、Firefoxは完全なサンドボックスアーキテクチャを導入できない可能性が高いでしょう。
これは、より現代的なアーキテクチャをより積極的に推進しなかったMozillaの責任であると同時に、セキュリティ強化のためにアドオン機能を犠牲にしたくないFirefoxユーザーの責任でもあります。古いアドオンモデルを破壊するような大きな変更に対して強い反発がある限り、Firefoxはおそらく最も安全性の低いブラウザの一つであり続けるでしょう。
そのため、Mozillaにとって最善の策は、Mozillaが開発したメモリセーフ言語であるRustでゼロから書かれた新しいブラウザを立ち上げることだろう。新しいブラウザは、レガシーコードやアーキテクチャを気にすることなく、より安全な方法で開発をスタートできるという利点がある。バッファオーバーフローなどの様々な脆弱性を完全に排除できるだけでなく、Rust言語のマルチコア最適化により、動作速度も大幅に向上するだろう。
ルシアン・アルマスはTom's Hardwareの寄稿ライターです。 @lucian_armasuでフォローできます。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
