プラグイン脆弱性問題に決め手はあるのか:セキュリティTips for Today(9)(3/3 ページ)
完ぺきなソリューションがないプラグイン対策
その前に、残念ながらWebブラウザやツールなど使って、簡単にインストールされているすべてのプラグインのバージョン管理を包括的に行うことができない事実を先にお伝えしなければなりません。現在のところ、最終的にはユーザーがプラグインの存在およびバージョンを意識し、バージョンアップを怠らないように注意を払う必要があります。
本来であれば、Webブラウザ起動時にそのWebブラウザにインストールされているすべてのプラグインのバージョンを確認し、最新でない場合にはバージョンアップを促すような機能が実装されているべきですが、現時点においては包括的にすべてのプラグインのバージョンを自動的に管理する機能は存在していません。
では、どのような対策がTipsとなりうるのでしょうか。それは利用しているWebブラウザに、どのようなプラグインがインストールされているのか知ることです。
本Tipsでは、Internet ExplorerとFirefoxを例として、インストールされているプラグインの種類とそのバージョンの確認の仕方についてご紹介したいと思います【注1】。
【注1】
それぞれのWebブラウザのバージョンは2009年9月27日現在の最新のバージョンを使用して、その確認方法についてご紹介します。
●Internet Explorer 8の場合
- 1. Internet Explorerを起動し、上段メニューの[ツール]→[アドオンの管理]をクリックします。
図2 メニューから「アドオンの管理」を選択- 2. 「Internet Explorerアドオンの表示と管理」画面が表示されますので、「表示」のプルダウンメニューより「すべてのアドオン」を選択します。
- 3. Internet Explorerにインストールされているすべてのプラグインが表示されます。
●Firefox 3.5.3の場合
- 1. Firefoxを起動し、上段メニューの[ツール]→[アドオン]をクリックします。
図5 メニューから「アドオン」を選択- 2. 「アドオン」画面が表示されますので、[プラグイン]タブをクリックします。Firefoxにインストールされているすべてのプラグインが表示されます。
図6 「プラグイン」を選択し、インストールされたプラグイン情報を表示する●Firefox 番外編
- 1. Firefoxを起動し、アドレスバーに「about:plugins」と入力します。
図7 アドレスバーに「about:plugins」と入力- 2.Firefoxにインストールされているすべてのプラグインが表示されます。
図8 インストールされたプラグイン一覧が表示される上記の方法により、それぞれのWebブラウザにインストールされているプラグインおよびそのバージョンを確認することができます。現時点では、ユーザー自らの意思により、これら情報をもとにしてバージョン管理を行うことになります。
上記方法でプラグインのバージョンが分かったとしても、そのバージョンが最新のものなのか一目では確認できず、また、インストールされているプラグインが多い場合には、その確認の作業も大変です。
本Tipsの冒頭でも申しましたが、本来であればWebブラウザがバージョンの確認を行い、インストールされているバージョンが古い場合には、バージョンアップを促すような機能が実装されていることが好ましいといえます。
プラグイン管理の「将来への期待」
以上で本記事を終えてしまうと、Tipsとしては中途半端な形となってしまうため、本記事のTipsとして真にご紹介したい機能を、将来への期待も込め、現時点では時期尚早な感は否めませんが、近い将来Webブラウザのプラグイン管理について一筋の光明がさそうとしていますので、ご紹介したいと思います。
Firefoxを提供しているMozillaによると、次期バージョンであるFirefox 3.6では、プラグインのバージョン確認を行い、古いバージョンを使用している場合にはアップデートを促す機能が実装されると述べています。
また、現行バージョンのFirefox 3.5.3では、Firefox 3.6への布石につながるといってもよい機能が実装されております。古いAdobe Flash Playerがインストールされている場合には、次のように更新を促すような警告画面が表示されます。この機能は、現在のところAdobe Flash Playerに限定されていますが、Firefox 3.6ではほかのプラグインにも対応すると表明しています。
図9 古いAdobe Flash Playerがインストールされている場合の警告【参考】
Firefox 3.5.3 update introduces Flash updates notification
http://mozillalinks.org/wp/2009/09/firefox-3-5-3-update-introduces-flash-updates-notification/
“Firefox 3.6 will also include the ability to check for new plugin versions and notify if there are.”
(上記ページより引用)
これは、私たちにとって朗報であり、Webブラウザのセキュリティ強化という観点からも飛躍的な進歩といえるのではないでしょうか。
もちろん、上述の機能はまだ見ぬバージョンでの実装のため、現時点では手放しでは喜べないところですが、大きな期待を込め、待望のFirefox 3.6のリリースを待ちたいと思います【注2】。
【注2】
上述でご紹介した新機能の威力を垣間見たく、本記事の執筆中にFirefox 3.6 Alpha 1の検証を行ってみましたが、この段階ではまだ該当の機能は実装されていませんでした。
本記事が公開されるころには、Firefox 3.6 Beta版が公開されていることと思いますので、そのころには該当機能が実装されているかもしれません。
包括的なプラグインの更新機能が正式に実装された際に、初めて本記事がTipsとして完結すると私自身は考えています。これまで、プラグインの管理に悩まされていたユーザー、および企業のセキュリティ管理者の方々にとって、本記事が朗報となることを祈っています。
また、このようなFirefoxの取り組みについてメディアを通じて紹介していくことで、ほかのWebブラウザベンダも同等以上の機能の実装に向けて、開発・検討していただけることを願っています。
Profile
飯田 朝洋(いいだ ともひろ)
サポートサービス本部
コアテクノロジーサポートグループ
Threat Monitoring Center 課長
トレンドマイクロへ入社後、企業向け有償サポート(プレミアムサポートセンター)のテクニカルアカウントマネージャとして、主に大企業へのセキュリティサポート・コンサルティングおよび、感染被害発生時のインシデント・オペレーションに従事。
その後、インターネットの脅威動向に関する監視・調査を行うThreat Monitoring Centerの設立と同時に、Senior Threat Research Engineerとして不正プログラムの収集・傾向分析の専門家としての活動を開始する。
現在は、米国ニュージャージー州で不正プログラムの傾向分析に加え、インシデント対応のサポートを行う。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。