Windows 8 Metroによる新たなセキュリティリスク
新たなOSは企業やユーザーのセキュリティにどのような影響を及ぼす可能性があるのか。McAfeeが検証している。
(このコンテンツはマカフィー「McAfee Blog Central」からの転載です。一部を変更しています。)
近々リリース予定のWindows 8では、Microsoft社はついにWindowsをタブレット市場における有力な選択肢の1つとして位置付け、全てのWindows搭載機器で同じユーザー操作を提供するという考えを明らかにしたようです。近々リリース予定のWindows 8のプレリリースによると、Microsoft社が、その野望をほぼ達成していることが分かります。しかし、それによって、ユーザーのセキュリティリスクが高まる可能性も出てきているのです。
このブログでは、マカフィーがセキュリティ専門家やIT管理者に向けてWindows 8のプレスリリースバージョンによる分析に基づき、セキュリティに関する変更と業界標準との比較について情報を提供します。ただし、新機能の追加とWindowsの全バージョンの問題の解決によって、現在のこの情報は、必ずしもWindows 8の最終バージョンでは当てはまらないかもしれません。
このWindowsの新バージョンは、デスクトップ向けに32ビット版と64ビット版、そしてタブレットなどのARMをベースのデバイス向けがあります。アプリケーションは、Microsoft社のMetroデザイン言語によって開発され、Windowsストア、およびMicrosoftアカウントが、Microsoft社の統合エコシステムを構成します。この環境は、Windowsがサポートしている幅広いプラットフォームに対応しており、各プラットフォームに特化したコード記述や開発を行わなくても、シームレスなインタフェースとユーザー操作を提供するそうです。
ユーザーにはっきりと目に見えるWindows 8の拡張機能としては、Windows DefenderやSmart Screen、Metroアプリケーションのためのより安全な環境があります。改善は、Windowsのマルウェア対策コンポーネント、宣言型リソースアクセス、Microsoftストアを通じたアプリケーションの審査、そしてアプリケーションへの制限付きリソースアクセスなど、4つの領域に分けることができます。これらの改善によって、Metro環境は大幅に安全になります。しかし同時に、悪質なアプリケーションや、Webと通信したりユーザーのデータを扱うアプリケーションに存在する脆弱性がセキュリティリスクとなり、デスクトップを狙った通常のマルウェアのみならず、悪質な攻撃に対するいくつもの突破口を提供しているのです。
技術的にWindows 8は、さまざまな新しいコンポーネントおよびプロセスの変更、特にMetroインタフェースにより、攻撃対象領域は、Windows 7よりも広がっています。ただ本記事で述べたように、この領域を相殺する厳しいチェックや対策も組み込まれています。
Windows 8は何年もかけて改良を重ね、成熟してきたMicrosoft社のテクノロジーを結集しています。Microsoftアカウントは、基本的にWindows Live IDであり、MetroインタフェースはWindows Phone 7とXboxをサポートしています。そして、Microsoft社は、Windows 8エコシステムを完結するため、Windowsストアによって、Appleストアのようなマーケットを築き上げようとしているのです。
インタフェース
Metroは、タイルのようなデザインのUIで、タッチスクリーンと従来のキーボード/マウスのインタフェースの両方をサポートしています。ほぼ20年続いたWindowsデスクトップとは違うMetroのスタート画面は、ユニークな「動くタイル(Live Tiles)」を表示し、ユーザーがすぐにアプリケ―ションを更新できるよう、常に最新の情報を提供します。
タイルのようなインタフェースを使用し、タッチスクリーンとキーボード&マウスの両方をサポートするWindows MetroWindows 8に関して、企業環境における重大な変更点の一つは、オフィシャルにはMetroインタフェースを無効にする手段がないという問題があります。また、新しいインタフェースが没入型のユーザー操作に的を絞っている点も、重大な変更点です。これは、タスクバーやアプリケーションメニューといったOSの標準のものが、もはや表示されなくなるということを意味します。ユーザーがアプリケーションを開くと、画面いっぱいに表示され、これまでよりはるかに広いスペースを取って、その操作に没入できるというわけです。
Metroインタフェースは、マウス、キーボードまたはタッチスクリーンでも使用することができますが、このインタフェースが扱いづらいことは明らかです。最新のWindowsプレビュー版では、このインタフェースのユーザビリティをマウス/キーボードでより使いやすくするマイナーチェンジが幾つか組み込まれていますが、従来の入力方式より、タッチスクリーンの方が適していることは明らかです。それにより、このギャップを埋めるデバイス、あるいはこのインタフェースに適したデバイスの新しい市場が誕生する、という可能性が大いに考えられます。
画面全体に表示されたMetroの天気予報アプリケーションInternet Explorer 10
もう1つの大きな変更は、Metroとデスクトップの両方でInternet Explorer(IE) 10が利用可能になったことです。この対応は下位互換性の利点があります。
Metroモードで画面を占拠するInternet Explorer 10Metroインタフェースでは、IEは没入モードで動作し、フルスクリーンでページが表示されます。URLバーも隠されており、以下のような見た目になります。
Windows 8 Metroモードで起動した場合、アドレスバーが表示されないInternet Explorer 10これは、通常のデスクトップインタフェースとは大きく異なり、その意味では従来のIEとも、大きく異なっています。
デスクトップモードで起動した場合のInternet Explorer 10。見た目はほぼ従来のWindowsアプリケーションと同じこの没入型のインタフェースで詐欺被害に遭わないようにするために、ユーザーは必ず、認証情報を入力する前にアドレスバーを表示させなければなりません。次に示す2つの画面は、Metroインタフェースで表示されたフィッシングサイトと、正規のサイトです。
その違いは非常に分かりづらくなっています。次に、アドレスバーを表示させて両サイトを比較してみると、正規のサイトがどちらか分かると思います。正しいWebサイトにはアドレスバーがグリーンで表示され、SSLで暗号化された安全な接続であることを示す鍵のアイコンがあります。一方、偽サイトはpaypal.comやpaypal.deがホストとなっておらず、PayPalではないサブドメインであることが分かります。
ブラウザのアドレスバーは、何年も前からユーザー操作の基本構成要素であり、Windows 8でも利用できます。しかしMetroでは、アドレスバーは常時見えているわけではないので、混乱を招く可能性があります。マカフィーでは、認証情報を入力するときは、アドレスバーが見えているべきだと考えています。
デスクトップバージョンではプラグインが利用できるものの、MetroインタフェースではIE 10にカスタムプラグインのサポートはありません。Metroでプラグインのサポートを外したのは、パフォーマンス、信頼性、セキュリティの向上を意図してのことです。特別なプラグインが必要な方は、デスクトップバージョンを使用すると、互換性を維持することができます。
MetroモードにおけるIE 10利用に関して、Microsoft社はAdobe Systems社の協力でFlash Playerの限定バージョンを導入しました。Flashの機能の多くを削除し、タッチジェスチャーのサポートを追加したバージョンで、より利用しやすくなります。ただ、これはある意味、巧妙な「釣り」ともいえます。Metroでは、Microsoft社が選んだ特定のサイト群でしかFlashのサポートは有効にならず、全てのサイトでFlashが機能するわけではないようです。例えば、ゲームサイトminiclip.comが提供するFlashゲームはMetroでも動作しますが、デスクトップモードのIE 10で動作するFlashファイルを、マカフィーが用意したテストサイトの1つにアップロードしたところ、MetroバージョンのIE 10では動作しませんでした。
またIE 10には、HTML5やWebSocket、クロスドメインメッセージング、postMessage、JavaScriptアプリケーションにおけるWeb Workersのサポートなど、数多くの新機能が追加されています。しかし残念なことに、こうしたサポートが新たに攻撃可能な領域を作ってしまう可能性があります。攻撃を開始して広めるためにシステム全体を乗っ取る必要もなく、アクティブなブラウザインスタンスしか必要としないマルウェアもあるでしょう。JavaScriptは、改ざんしやすいことで悪名高く、ブラウザでJavaScriptを実行するのは、デスクトップでダウンロードしたアプリケーションを実行するより、一般に行われていることなので、この場合、マルウェア対策ソリューションを導入してプロアクティブな措置を講じることが、最も効果的な防御となります。
今後、新インタフェース、およびWindows 8の強化点やリスク、安全性確保のアプリケーションなどを検証していきます。
関連記事
- 企業向けモバイルアプリ開発、トップはiOS Windows 8タブレットにも強い関心――米調査
- 「Windows 8」の発売は10月26日 「Surface for Windows RT」も同日発売
- 「Windows 8 Pro」へのアップグレードは39.99ドル(期間限定)
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。