第2回:Windows XP SP2で変わるセキュリティ機能〜後編(2/4 ページ)

» 2004年08月25日 17時08分 公開
[本田雅一,ITmedia]

ポップアップ広告の禁止

 ポップアップ広告の禁止機能は、Webページ内のスクリプトでポップアップウィンドウを出すことを防ぐものだ。SP2の新しいIEがポップアップを防ぐと、IEのウィンドウクライアントエリア上部の“情報通知エリア”に「ポップアップがブロックされました」と通知が出る。これをクリックすることで動作オプションを選択できる仕組みだ。オプションでは、ブロックされたポップアップを表示させたり、そのサイト内でのポップアップを許可するなどの動作を選択できる。

ポップアップブロック1 ポップアップを知らせる情報通知エリアをクリックすると、ポップアップを一時的に許可(ブラウザを起動し直す、あるいは別サイトに移動すると再度禁止される)、このサイトのポップアップを常に許可(許可サイトに追加する)、といったオプションを選択できる
ポップアップブロック2 ポップアップを一時的に許可して\いる間は、情報通知エリアに一時許可が与えられている旨が表示され続ける
オプション設定 IEに追加されたポップアップブロックのオプション設定。[プライバシー]タブにある
オプション設定2 ポップアップを恒久的に許可するサイトを登録したり、ポップアップの禁止レベルを設定することが可能。サイトアドレスにはワイルドカードが利用可能で「*.itmedia.co.jp」といった指定も行える

 同様のUIは、他のセキュリティ強化項目にも導入されており、セキュリティ上の問題でSP2のIEでは動作しないスクリプトなどがあった場合も、情報通知エリアを通じてユーザーに通知される。このような場面に出くわした場合、もし相手が信頼できるサイトであるならば、情報通知エリアをクリックしてブロックを解除することで、一時的に保護機能を解除できる。

Webビーコンメールへ対応したOutlook Express

 Outlook Expressにも、IEの新機能で紹介したのと同様に、添付ファイルをディスクに保存する際にセキュリティゾーン、即ちファイル“出身地”を属性として記録しておく。加えてHTMLメールに対するセキュリティ強化も図られている。

 従来からOutlook Expressは、HTMLメールを表示する際、テキストデータのみを表示するオプションがあった。受信して表示する時、必ずIEのモジュールを利用してメッセージのレンダリングを行っていたため、HTMLに悪意あるスクリプトを潜り込ませていると、Webサイト内のスクリプトと同様、それが実行されてしまう危険性があり、それを避けるために設けられている。

 ところが、このオプションはHTMLメール中のプレーンテキストデータセクションのみを表示するもので、HTMLメールに埋め込まれたリンクなどの情報は表示できず、またプレーンテキストデータセクションが付いていないメールの本文を見ることができないなど問題が多く常用しずらい。しかも、HTMLデータセクションにはアクセスできない(添付ファイル扱いだが除外されてしまう)ため、必要な場合にHTMLデータを読み出して表示することもできない。

テキストメール 実際にHTMLメールをテキスト形式で受け取ったところ

 そこで、SP2からはHTMLデータセクションの内容をリッチテキストコントロールというモジュールで表示可能になっている。リッチテキストコントロールには、HTMLを入力すると文字情報を読み取り、リンクなどを整理してプレーンテキスト内に埋めて表示する機能がある。HTMLメール本来のレイアウトは崩れ、画像も表示することはできないが安全性は高まる。またHTMLメールの本体が添付ファイルとしてアクセス可能なほか、[表示]メニューから[HTML形式のメッセージ]を選ぶと、HTMLメール本来の表示へと瞬時に切り替わる。

 ユーザーはオプションダイアログの読み取りタブで、メッセージをテキストで読み取るよう設定しておくことで、本文を抜き出してプレーンテキストにしたメールとして読み取る設定に変更可能だ。

追記:SP2以前よりHTMLメールをテキスト化して読むオプションは用意されていました。誤解を招く内容でしたので、追記しました(8月26日)

セキュリティ設定1 Outlook Expressのセキュリティ設定画面。HTMLメールの画像や外部コンテンツのインクルードを禁止するオプションが追加された
セキュリティ設定2 [読み取り]タブの[メッセージはすべてテキスト形式で読み取る]をチェックしておくと、読み取りメッセージをHTMLからプレーンテキストに変換して受信し、元のHTMLファイルが添付される

 また、Webビーコンと呼ばれるテクニックにも対策が打たれた。Webビーコンとは、外部Webサーバの画像などにアクセスするHTMLを含んだメールから、そのメールを開いた電子メールアドレスやホストIPアドレスを特定するテクニックだ。

 うっかりWebビーコンを含むメールを開き外部Webサーバにアクセスしてしまうと、そのメールアドレスの有効性、開いたメールに付けられたタイトルへの興味などが自動的に登録されてしまう。画像アクセスのURLとメールアドレスを関連付けているため、アクセスされたURLからアクセス元のメールアドレスを割り出す仕組むだ。一度、Webビーコンに引っかかると、“スパムに反応する有効なメールアドレス”として、以降、集中的なスパムメールを浴びせられる可能性が出てくる。

 そこでSP2のOutlook Expressは、外部サーバに置かれた画像をデフォルトでは表示しないよう仕様が変更された。もちろん、外部サーバの画像を利用するメールの中にも、無害なものがある。ユーザーが無害と判断した場合は、IEの“情報通知エリア”と同様に表示される警告部分をクリックし、“画像のダウンロード”を指定することで内容を確認することができる。

Webビーコンブロック テキスト形式で受信しない場合でも、外部コンテンツを含むHTMLメールはそのままでは表示されない。警告メッセージ部分をクリックすると、画像がダウンロードされる

Windows UpdateからMicrosoft Updateへ

Copyright © ITmedia, Inc. All Rights Reserved.