ニュース
2004/02/05 14:43:00 更新
IEのセキュリティパッチで一部のアプリケーションの利用に障害
インターネット上の詐欺を防止することを目的としたInternet Explorerのパッチのせいで、セキュリティが重視されない一部のアプリケーションが使えなくなっている。一部のWeb開発者がこういった不満を訴えている。
Microsoftは先週、認証情報をリンクに含めるという危険な手法を防止するために、IEブラウザに修正を加えると発表した。2月2日にリリースされたこのアップデートに対し、一部のWebサイトプログラマーが抗議の声を上げた。URLに組み込まれた認証情報を用いてアクセスを許可するサイトにログインできなくなったという苦情が、Webユーザーから寄せられたからだ。
ある企業でWebベースのデータ処理サービスを担当するソフトウェアエンジニア、ジェームズ・ロスコー氏は、「Microsoftにはこの問題に対処すべき理由があるかもしれないが、業界標準を全面的に無効にするというやり方は困る」と話している。ロスコー氏および同僚のプログラマーは2月3日夜、同氏の会社(匿名希望)のWebサイトへのログインリクエストを処理するプログラムを修正する作業に追われたという。
一部のユーザーが利用している機能にセキュリティを施したことでMicrosoftが注目を集めたというのは、一般に知られている範囲では今回が初めてのケースだと言えそうだ。Microsoftは2年余り前に「Trustworthy Computing」(信頼できるコンピューティング)構想を打ち出したとき、セキュリティを最も重視すると約束した。しかし、同社の取り組みはあまり成果を上げていないという批判もある。
Microsoftのセキュリティ対策センターでセキュリティプログラムマネジャーを務めるスティーブン・トゥールーズ氏は、「大多数の顧客の視点に立って、この問題を検討した。当社の顧客はセキュリティを求めており、われわれはその要求にこたえて修正を行った」と話している。
今回指摘された問題は、認証情報をURLに埋め込むことによってWebユーザーがログインできるようにプログラムされたWebサイトで発生する。こういったサイトのWebアドレスは、「http://username:password@www.somecompany.com/program.ext」といった形式になる。認証プログラムがそこに含まれるユーザー名とパスワードを確認すると、ユーザーが会社のWebサイトにアクセスできるようになる仕組みだ。
「ユーザー名とパスワードがWebアドレスの一部になっており、しかもそれが暗号化されてないため、URLに認証情報を埋め込むという手法はセキュリティ面でリスクがある」――こう指摘するのは、ActivMedia Roboticsの最高技術責任者で、「HTML & XHTML: The Definitive Guide」の共著者のウィリアム・ケネディ氏だ。
「そもそも、そういった機能を含めるということ自体、ばかげた考えだ。サイトにログインする方法はほかにいくらでもある」とケネディ氏は話す。
だが、Microsoftがこの機能を無効にしたのは、そういった気持ちからではない。同社が修正を施したのは、まともなWebサイトにリンクしているように装いながら、実際にはユーザーを偽サイトに導くようなURLを詐欺師が作成することができないようにするのが目的だ。例えば、eBayのサイトにリンクしているように見えるURLが、実際には「http://www.ebay.com@fraudsite.com」といった偽サイトにユーザーを導くかもしれないのだ(1月29日の記事参照)。
偽サイトは一般に、ユーザー名とパスワードを要求し、その情報を詐欺行為に利用する。大手銀行やPayPalなどの金融機関のWebサイトが、こういった詐欺(「フィッシング」とも呼ばれる)のターゲットになることが多い。米国市民の銀行口座を保証する政府機関である連邦預金保険公社(FDIC)は最近、こういった詐欺に対する警戒を呼びかけた。
プライバシーとセキュリティ問題の専門家、リチャード・スミス氏は、「ほとんどの人が、この機能の存在すら知らないのではないかと思う。もちろん最大の例外は、フィッシングをたくらむ詐欺師だが」と話す。
前出のプログラマー、ロスコー氏は、ユーザー名とパスワードをURLに含めるのは、あまり安全ではないことを認めながらも、「セキュリティが必要とされないアプリケーションもある」と強調する。
「この機能はそれほど重要でない情報で利用している。Web上のあらゆる人にアクセスされては困るといった程度の情報だ」とロスコー氏。
IEのアップデートに応じてサイトを修正するのが難しいケースもあるようだ。
不動産所有者がテナントの要求を管理するためのオンラインサービスを提供しているAngus Systems Groupでは、URLに含まれる認証情報を利用して、ユーザーがレポート生成用のサードパーティーアプリケーションにログインできるようにしている。このアプリケーションは、毎回ログイン操作を必要とするほどセキュリティが重視されるものではないため、ユーザーは通常、特定のURLを通じてグループの一員としてログインする。
Angus Systemsのシニアアーキテクト、ブラッド・エイジャ氏は、「ユーザーが自分の認証情報に責任を持てば、それほど問題にはならないだろう。残念ながら、このサードパーティーアプリケーションのこの部分のセキュリティについては、われわれにはどうしようもないのが実状だ」と話す。
エイジャ氏は、顧客から苦情が寄せられるまで、この問題に気づかなかったという。
「ある日突然、システムが機能しなくなったのだ。これまでやってきたことがセキュアでないとMicrosoftと判断したからだ。希望者が利用できるようなオプトイン方式があってしかるべきだ」とエイジャ氏は話す。
同氏によると、Angus Systemsではさまざまな選択肢を検討するつもりだが、問題のパッチの機能を解除するためのレジストリアップデートをユーザーに提供することによって、Microsoftのセキュリティ対策を元に戻す必要があるかもしれないという。
関連記事
MS、IE緊急パッチの「副作用」に注意呼びかけMS、IEの脆弱性に対応の臨時パッチIE用の新パッチ発行で電子商取引に混乱の可能性もIEのURL詐称問題、MSの対応の詳細が明らかに信じられる表示はどれ? IEを悩ませる「詐称」の問題[Robert Lemos,ITmedia]
この記事は、ZDNet米国版掲載記事を翻訳したものであり、CNET Networks,Incもしくはその供給元にその著作権が帰属します。Copyright(C) 2005 CNET Networks, Inc. All Rights Reserved.“ZDNet”はCNET Networks, Inc.のトレードマークです。
