そろそろIEを捨てる時？

US-CERTはIEの脆弱性報告が相次いでいることを受けて、IE以外のブラウザへの乗り換えを勧めている。IEを捨てて別のブラウザに走ることで、セキュリティ問題は解決されるのだろうか？（IDG）

[IDG Japan]

　米国土安全保障省（DHS）のサイバーセキュリティ部門は今夏、Internet Explorer（IE）でセキュリティ脆弱性の発見が続いている問題に対応するため、IE以外のブラウザを利用するよう提言した。これは、Webブラウザ市場におけるMicrosoftの独占状態が終わりを迎える兆しなのだろうか？

　どちらに転ぶかは、断言できないところだ。最近ではMozillaブラウザにも脆弱性が発見されており、Mozillaも脆弱性とは無縁でないことが浮き彫りになっている。またWindows XP Service Pack 2（SP2）では、IEを狙った攻撃に対する新たな防御策を採用している（どのみちIEはWindowsと緊密に統合されており、アンインストールできなくなっている）。それでもWebベースの攻撃に陰りは見えておらず、IEにパッチを当てたり、Microsoft以外のブラウザに移行するといった選択肢も、それだけではオンラインでの安全性を保証するのに十分ではない。

狙われるのは「人気がある」から？

　IEは見事なほどに、ブラウザ市場を独占している。Web分析企業のWebSideStoryによると、IEは6月にブラウザ利用の世界シェアで、95％を獲得している。

　しかし、それほどにも普及していることが原因で、攻撃の成果を最大にしようとするウイルス・ワーム作者やブラウザハイジャッカーが、次から次へとIEやMicrosoftを狙っている。TruSecureのチーフストラテジスト、ラス・クーパー氏によると、別のブラウザへの移行は一時的な解決策にしかならない。「一斉に乗り換えれば、攻撃者はただターゲットを変更するだけだろう」と同氏は指摘する。

　そうはいっても、攻撃対象がMicrosoftのブラウザに偏っているのは、市場を独占していることだけが原因ではない。DHSの全米サイバーセキュリティ局（NCSD）傘下のUS-CERTで、インターネットセキュリティアナリストを務めるアート・マニオン氏は、IE独自の機能がオンラインでの脆弱性を高めていると指摘する。IEのセキュリティゾーン機能、ActiveXコントロールやWebサイト側でブラウザメニュー・ツールバーを隠せるスクリプトのサポート、Dynamic HTMLのサポートなどがその例だ。「ほかのブラウザには単にこうした機能がない」と同氏。

　Microsoftは新たに発見された脆弱性に対して、パッチの提供を続けている。しかしUS-CERTは、修正済みの脆弱性が、新しいパッチを当てると再び出現してしまったことを受け、Web利用者は別のブラウザを検討した方がいいかもしれないと脆弱性ノートで勧めている。それとほぼ同時期の7月初旬には、ここ数年間で初めてIEの市場シェアが1ポイント下がり、94％になったとWebSideStoryは報告している（関連記事参照）。

　しかしながら、IEの優位性が大きく衰えることはなさそうだ。標準化の取り組みをWeb標準団体が長年続けているにもかかわらず、多くの企業がMicrosoftのプロプライエタリなスクリプトやHTML拡張の利用を続けて、IEで閲覧したときしか完全に機能しないサイトを作ってしまっているからだ。そして、デフォルトのブラウザを別のものに設定した場合でさえも、重要なWindows Updateのパッチ機構や、Windows Messenger、Outlook Expressなど、Windowsの一部機能では、デフォルトブラウザの設定とは関係なくIEが立ち上がってしまう。

IEを捨てる以外にできること

　脆弱性ノートの内容とは矛盾するものの、IEを捨てることは、オンラインの脅威に対抗する唯一――あるいは最善――の方法ではないとUS-CERTはくぎを刺している。「US-CERTは、特定のブラウザやソフト製品をほかと比較して勧めているわけではない」とUS-CERTのマニオン氏。

　US-CERTの脆弱性ノートでは、IEを捨てることは、（IEが攻撃に対する多くの防御策を発動する）インターネットゾーンのWebページが同ブラウザをだまして、ローカルマシンゾーンでJavaScriptコードを実行する問題に対処する措置の中で、最後の選択肢だとしている。ローカルマシンゾーンでは、プログラムがユーザーに既知のものと見なされ、セキュリティ性はかなり低い。

　US-CERTはこのほかの対抗策として、インターネット・ローカルマシンゾーンでのActiveスクリプト（JavaScript含む）およびActiveXコントロールの無効化、Microsoft Outlook用のセキュリティアップデートの適用、スクリプトを通さないプレーンテキスト形式によるメール送受信、最新の状態にアップデートしたウイルス対策ソフトの利用、スパム・インスタントメッセージ（IM）・掲示板に載っているリンクをクリックしないことなどを呼びかけている。

　 US-CERTの脆弱性ノートは、結局は別のブラウザを利用するように提言しているが、そうすれば主要なWebサイトの機能をすべて利用できなくなるかもしれないとも注意している。TruSecureのクーパー氏によると、IEを捨てることは解決策にならないとし、そんなことをしても「トレーラーの後ろにいるノミを撲滅する」ようなものだと付け加えた。クーパー氏もマニオン氏も、インターネット・ローカルマシンゾーンでセキュリティを強化してから、既に知っている正規のサイトをIEの信頼済みサイトに追加するよう勧めている。

　IEの脆弱性に対する懸念は、8月上旬にリリースされたWindows XP SP2をインストールすることで、さらに軽減されるかもしれない。クーパー氏はSP2の優れている点として、Webページを介して悪質なソフトを起動・インストールしようとする動きを防ぐ新機能をIEに組み込む点を挙げている。マニオン氏が気に入っているのは、SP2ではWebサイトがIEのインタフェースを変えられなくなった点だ。例えばWebページの本当の名前を示すアドレスやステータスバーを隠すことで、フィッシング詐欺犯はWebページの外観をずっと信頼できるものに見せかけていた（フィッシングでは、銀行などの金融機関を名乗り、本物らしく見えるWebページやメールメッセージを利用して、受信者にユーザー名とパスワードの入力を求める。入力したデータは詐欺犯に直接届いてしまう）。

　そうは言っても、このサービスパックは万能薬ではない。クーパー氏は「間違いなく、XP SP2以降も、IEを対象とする有効な攻撃が見つかるだろう」と話す。しかし、控え目に言ってもSP2の新しい防御機能は、攻撃が起きたことすら分からないという問題を「完全になくすわけではないにしろ、劇的に軽減することになるだろう」と同氏。

さらに安全なブラウザを求めても――

　IE以外のブラウザがすぐにIEを追い抜くことはないかもしれないが、だからといってほかのブラウザがIEと共存したり、IEに取って代わることが不可能だということではない。US-CERTは、「IEのドメイン・ゾーンセキュリティモデル、DHTMLオブジェクトモデル、MIME解析、ActiveXといった関連技術に含まれる多数の重要な脆弱性」を報告しており、「特に信頼できないサイトをブラウジングするときには、別のWebブラウザを利用することで、脆弱性のリスクを軽減できるかもしれない」としている。

　また、別のブラウザを使うと、Web体験が変わるかもしれない。IEでだけ機能するよう設定されたサイトを使えなくなる可能性もあるが、いい意味で驚くことになるかもしれない。代替となるブラウザには、パスワードマネージャやタブブラウジングなど、IEにはない機能があるからだ。

　Opera Softwareのロルフ・アセブ執行副社長は、新機能よりも安全性をめぐる懸念によって、ユーザーはOperaブラウザに乗り換えていると語る。IEのセキュリティ脆弱性に関する報道によって、無料ダウンロード版、有料版ともに利用件数が大きく伸びているという。Mozilla FoundationのMozillaとFirefoxブラウザのダウンロード件数も急増している。

　Microsoft以外のブラウザを使っても、安全性が保証されるわけではない。最近クラッカーによって、（パッチが出た後ではあるが）Opera、Mozilla（とMozillaから派生したNetscapeブラウザ）の脆弱性が利用されている。それでも、こうしたブラウザに対する攻撃はIEが受ける攻撃よりもずっと少ないことから、たとえわずかな間でも、IE以外のブラウザが避難港のように見えるのかもしれない。