米Microsoft、3D技術のWebGLは「セキュリティ的に有害な技術」と懸念を表明

　米Microsoftは16日、Microsoft Security Responce Centerエンジニアリングチームの見解として、3D技術「WebGL」はセキュリティ的に「有害な技術」だと認定したことを明らかにした。

　WebGLは、当初Mozillaによって開発が始められ、非営利団体The Khronos Groupによって標準化が進められた。現時点でMozilla FirefoxとGoogle Chromeに実装されており、OperaとSafariの実装も開発中である。この状況で、最大シェアを持つInternet Explorerの開発元であるMicrosoftが明確な懸念を表明したことで、ウェブにおける3Dレンダリングアプリケーションの普及に遅れが生じる可能性も出てきた。

　Microsoftは、5月にContext Information Security社が発表した2つの報告書を調査した。これは、WebGLに重大な脆弱性があることを指摘したもので、調査の結果としては、WebGLをブラウザーがサポートすることにより、ハードウエアの機能が直接ウェブの危険にさらされることになり、特権昇格で済むレベルの攻撃がリモートコード実行にまで至る可能性があると指摘している。

　また安全性を保証するには、サードパーティーのドライバーなどに依存せざるを得ないが、ドライバーは年に一度程度しかアップデートされないことが多く、セキュリティアップデートのスピードに追いつくことができないとも指摘。また、これらの脆弱性により、DoS攻撃の脅威にさらされるともしている。

　こうしたことから、MicrosoftのMSRCエンジニアリングチームでは、「現在の形態では、セキュリティ上の観点から、MicrosoftとしてWebGLは承認できるテクノロジーではない」と、立場を明確にしている。