競合ブラウザからシェア奪還に動くInternet Explorer 7の実力は?(2/3 ページ)
ActiveXコントロールの制限
IE7に施されたセキュリティ関連で最も重要な変更は、Webサイトからダウンロードされ、ブラウザ内で実行される小さなプログラム、ActiveXコントロールをどのようにハンドリングするかという部分だ。ActiveXコントロールは、Webページ上でインタラクティブな機能を実現するために頻繁に利用される。例えば、ActiveXコントロールを使えば、Webページに動画を置き、Windows Media Playerなどを使わず、IEで直接再生させることができる。同じようにインタラクティブなWebページを作成するときに用いられるAJAXやFlashアプリケーションも、ActiveXコントロールを利用してIE内で起動、実行することが可能だ。
MicrosoftはWindows XP SP2で、ActiveXコントロールによってダメージが生じる危険性をある程度除去した。例えば、Windows XP SP2のIEは、未知のActiveXコントロールを含むページをロードする場合、そのコントロールの署名に用いられた認証情報を提示し、ユーザーにそれをインストールし、実行するかどうかを確認するようになった。またデフォルトで、無署名のコントロールや無効な署名を持つコントロール、以前ブロックされた発行者のコントロールは実行を制限される。
IE7はActiveXに対する規制をさらに厳格化した。ユーザーのマシン上に存在する既存のActiveXコントロール、例えばWindowsとともに出荷されたコントロールやOEMメーカーによるものなど、その多くがデフォルトで無効になる。無効になっているActiveXコントロールを要求するページに遭遇したとき、ユーザーはまずそのActiveXコントロールの実行が必要であることを告げられ、そのコントロールの発行者の認証が提示される。言い換えれば、制限されたActiveXコントロールを実行しようとするたびに、ユーザーは2つのステップを踏まなければならないことになる(新しいActiveXコントロールをダウンロードする場合、IE7はWindows XP SP2で導入されたプロセスを継承する)。
ただし、IE7のActiveX制限にも、いくつか小さな抜け穴がある。最も注意すべき点は、認定リストに掲載されたActiveXコントロールがデフォルトでは無効にならない点だ。このリストに掲載されるコントロールは、開発者が認証に責任を持つ。Microsoftでは、安全と判断できないActiveXコントロールについては、すべてリストから削除するとしているが、このアプローチは、おそらく同社と悪意のあるソフトウェアの作成者たちとの間でいたちごっこを誘発することになるだろう。
危険な機能を無効に
ActiveXコントロールに加え、IE7ではその他のセキュリティホールについても、次のような対策が施された。
- Windows Vistaでは、IE7は最低限のユーザー特権しか持たないプロテクトモードで実行し、レジストリや主要なファイル、フォルダを含む高い特権レベルのOS部分に対して、データを書き込むことは許されていない。
- IEではクロスドメインスクリプティングが制限されるため、スクリプトはWindows、あるいは同一ドメイン内のコンテンツとのみやり取り可能で、他のドメインのコンテンツとはやり取りできない。
- MicrosoftはIEがURLを処理するために利用するコードを書き換え、バッファのオーバーフローを狙った不正なURL(非常に長い、あるいは珍しいキャラクタを用いたものなど)による攻撃の危険性を少なくした。
- ほとんど利用されない機能は無効にされ、攻撃を受けやすい面を少なくした。
ユーザーアラートの強化
IE7のセキュリティ面におけるその他の機能強化は、ユーザーが危険な行動を取ろうとしたときに警告するさまざまな仕組みだ。例えば次のようなものがある。
HTTPSの強化
SSLやTLSなどのHTTPS技術は、クレジットカード番号の転送といった電子商取引トランザクションの暗号化に頻繁に用いられる。IE7では、Microsoftが安全ではないと判断したHTTPSページ、例えば貧弱な暗号で保護されていたり、有効でない認証を用いているサイトなどは読み込まれず、エラーメッセージが表示される。また、IE7はまもなく登場する"より安全な"SSL認証をサポートする。新しいSSL認証は現行より、さらに厳格な認証チェックを要求するようになっている。ユーザーがそうしたページにアクセスすると、IEアドレスバーはグリーンに変わる。
フィッシング防御フィルタ
フィッシングとは、よく知られたWebページ(銀行のホームページなど)とそっくりのページを作ってユーザーをだまし、入力欄に個人情報を打ち込ませて盗み取る犯罪手法だ。IE7にはフィッシングをフィルタリングする機能が搭載されている。2005年秋、MSNツールバーに組み込まれたもので、既知のフィッシングサイトの読み込みを阻止し、アドレスバーの色を赤に変えて警告する。Microsoftが疑わしいと判断するサイトは、ブロックはされないが、アドレスバーは黄色に変わる。Microsoftは疑わしいサイトをどのように判断するか説明していないが、紛らわしいサブドメイン(例えばwww.microsoft.whatever.com)など、フィッシング犯罪の一般的な手口がフィルタリングのトリガになるものと思われる。
Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- キヤノンがグローバル330社の経営管理基盤を構築 連結決算を合理化した方法は?
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- SharePointのダウンロードイベントログを回避する2つの手法が見つかる
- OpenAI Japan設立 岸田首相への宣言から1年 日本語特化GPT提供へ 速度3倍コスト半減
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
ITmediaはアイティメディア株式会社の登録商標です。