セキュリティ専門家「Javaはスクラッチで作り直す時期に来ている」
相次ぐ脆弱性の報告、「コードに対するコントロールを失っている」と指摘「昨年(2012年)後半から相次いでいるJava脆弱性の報告は、OracleがJavaを作り直すべき時期に来ていることを示している」。これはルーマニアのウイルス対策ベンダーBitdefenderで、サイバー脅威担当シニア・アナリストを務めるボグダン・ボテザツ(Bogdan Botezatu)氏の見解だ。
ボテザツ氏は、先日発見された(※注:1月13日にOracleが修正アップデートをリリースした)Javaの脆弱性は、およそ1億台のPCを攻撃の脅威にさらすものだったと見積もっている。
昨年8月以降、深刻な脆弱性が相次いで発見、報告されている背景には、OracleがJavaのコードに対するコントロールを失っていることがあると、ボテザツ氏は指摘する。
「Oracleは、Javaのコア・コンポーネントの一部をスクラッチで(ゼロから)書き直す必要に迫られている」(ボテザツ氏)
こうした問題は、Javaだけでなく、Adobeの「Adobe Reader」「Flash Player」などの成熟したソフトウェアが抱えるものだ。長年にわたって開発が継続され、あまりに多くの開発者たちがコードに触れてきたことが原因である。
「これらのソフトウェアは巨大なものになり、あまりに多くのプログラマーが開発に携わってきたため、ソフトウェア・メーカーはそのソフトウェアに対するコントロールを失ってしまっているケースが少なくない」
脆弱性との戦い
皮肉なことに、Javaの脆弱性を何とか修正しようとするここ最近のOracleの奮闘ぶりは、ボテザツ氏の見解を裏付けるかのようだ。
例えばOracleは昨年8月、3つの脆弱性を修正する目的でJavaのアップデート(Java 7 update 7)をリリースした。しかしリリースから数時間のうちに、ポーランドのセキュリティ研究家でSecurity ExplorationsのCEO、アダム・ゴーディアック(Adam Gowdiak)氏が、このアップデートによって生じた脆弱性を発見した。
セキュリティ専門家のなかには、Javaはもうその役割を終え、Javaが提供してきた機能はほかのテクノロジーによって代替可能だと指摘する者もいる。
最近発見された脆弱性も、昨年10月にリリースされたアップデートが不適切だったために生じた可能性があるという。「この(10月の)アップデートは不完全なものであり、今回発見された脆弱性につながる扉を開いた」(ゴーディアック氏)。
ボテザツ氏は、「古いバージョンのJavaに繰り返しパッチを当てて対処するよりも、幾つかのコア・コンポーネントを完全に作り直して、バグを確実にゼロにするべき時が来ている」と主張する。
ただし、実際にはそういう風に進まないだろうとボテザツ氏は認める。「(Javaの)大幅な変更にOracleは消極的だ。それによって、すでにリリースされているJavaアプリケーションが動作しなくなってしまう可能性があるから」(同氏)。
JavaにおいてOracleが直面している問題は、あらゆるソフトウェア・メーカーが直面しうる問題である。過去のバージョンとの互換性を維持しながら、プログラムをどのように改善していくのかというのは永遠の課題だ。
「Windows Vistaがいい例だ。XPから移行した一部ユーザーのアプリケーションが動作しなかったために、Vistaは歓迎されなかった」とボテザツ氏は表現する。
それでも、ここで指摘されている問題にOracleが取り組もうとしている兆候は見られる。同社は先週、新バージョンの「Java 8」を今年9月からリリース開始することを発表している。
(John P. Mello Jr./PC World米国版)