ITmedia NEWS > セキュリティ >
ニュース
» 2008年03月07日 11時33分 UPDATE

IE 8のセキュリティは?

IE 8β1のセキュリティ機能は少なく、サイトで紹介されているのはフィッシングサイトを警告する「Safety Filter」だけだ。

[Ryan Naraine,eWEEK]
eWEEK

 米Microsoftの新ブラウザ「Internet Explorer(IE)8」の最初のβ版は、セキュリティ関連の機能や強化が驚くほど少ないように見える。

 MIX08カンファレンスで発表されたこのブラウザは、幾つかのしゃれたプロダクティビティ機能を備えるが、マルウェア遮断機能やウイルス対策機能が統合されているかどうか、危険なActiveX関連のデフォルト設定が変更されているかどうかに関する情報がない点が目に付く。

 3月4日に公開されたIE 8β1のウェルカムページによると、セキュリティ関連の強化機能は、Webユーザーがフィッシングサイトと確認されているサイトにアクセスしたときに警告システムとなる「Safety Filter」だけだ。

 Safety Filterは、IE 7のフィッシングフィルターの強化版のようだ。Microsoftは不正Webサイトからの「より強力な保護」を提供すると主張しているが、実際にマルウェアのドライブバイダウンロードを事前に遮断するかどうかは分からない。

 「Safety Filterはこれまで同様に既知のフィッシングサイトをブロックし、新たに、ユーザーのコンピュータに害を与えたり、情報を盗む不正なソフトを配布すると確認されているサイトも遮断する。この保護強化以外にも、従来より動作が速くなっており、ユーザーは安全かつスピーディーにWebを閲覧できる」とMicrosoftは説明している。

 IT管理者向けには、新しい「Group Policy」オプションがあり、ユーザー優先オプションを廃して、既知の危険なサイトへのアクセスを完全にブロックするという。

大きな弱点

 旧版のIEでは、デフォルトでオンになっているドライブバイダウンロード遮断機能がないことが大きな弱点だと考えられていた。Trend Micro、AVG Technologies、McAfeeなどのサードパーティーは以前からこうしたニーズに気づいて飛びつき、色分けされた警告を表示し、ブラウザ経由で攻撃するコードを事前に防ぐブラウザアドオンを提供している。

 Microsoftの元社員4人も、IEユーザーの保護をビジネスにすることを思いつき、ベンチャー企業Haute Secureを立ち上げた。ドライブバイダウンロードによる脅威への解として、ブラウザプラグインを利用すると公約している。

 Haute Secureは、振る舞いベースのプロファイリングアルゴリズムを使って、リアルタイムで不正なファイルを特定し、防ごうとしている。

 Googleが最近、ブラウザ仮想化ソフトを販売するGreenBorder Technologiesを買収したことは、同社もこの分野に――おそらく、IE向けGoogle Toolbarを介して――参入することを強く示唆している。

 ブラウザ分野でのMicrosoftの最大のライバルFirefoxも、セキュリティをメインテーマとした大規模な刷新を進めている。Firefox 3のセキュリティ機能の中には、フィッシングサイトと疑わしきサイトを表示しないようにするGoogleベースのWeb Forgery Protectionページなどがある。不正な実行可能ファイルを含むサイトを遮断する似たような機能や、ユーザーがロケーションバーのファビコン(お気に入りアイコン)をクリックすると、サイトオーナーの情報を表示したり、通信が傍受されないよう保護されているかどうかチェックできる機能もある。

 セキュリティ専門家は、MicrosoftにIEのActiveXコントロールの処理設定を変えることも求めている。これまでに、主要ソフトベンダーが使っているActiveXコントロールの危険な脆弱性によって、IEユーザーがコード実行攻撃の危険にさらされたことがあった。これを受けてUS-CERTは、Microsoftにスクリプトに関連するデフォルト設定を変えるよう促している。

 「われわれはIEユーザーに、セキュリティの観点から、ActiveXコントロールをデフォルトで実行させないように無効にするべきだと伝えている。Microsoftが次のバージョンのIEでそれをやってくれたらいいのだが」とカーネギーメロン大学のソフトウェア工学研究所CERT/CCの脆弱性アナリスト、ウィル・ドーマン氏は言う。

関連キーワード

IE 8 | Microsoft | セキュリティ | ActiveX | マルウェア


原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.