IE 8でセキュリティ機能のデフォルト設定が変更に

[Ryan Naraine，eWEEK]

　MicrosoftはInternet Explorer（IE）の主要なデフォルト設定を変更し、ハッキングしようとする攻撃者を阻止する計画だ。

　Microsoftは、Windows VistaとWindows Server 2008で稼働するIE 8では、データ実行防止（DEP：Data Execution Prevention）と非実行ページ保護（NX：No eXecute）機能をデフォルトでオンにする。これは、ブラウザの脆弱性を軽減するための大きな変更だ。

　DEPとNX（以下DEP・NXと表記）はIE 7で既に備わっていたが、後方互換性を保つためにデフォルトでオフになっていた。

　このデフォルト設定の変更によって、IE 8はアプリケーションまたはサービスが非実行メモリ領域からコードを実行するのを防ぐセキュリティ機能を自動的に備えることになる。DEP・NXをほかのセキュリティ機能と併せて使うことで、ハッカーによる攻撃の有効性を軽減できる。

　Microsoftのプログラムマネジャー、エリック・ローレンス氏によると、DEP・NXによる防御は、IEとIEに組み込まれたすべてのアドオンに適用される。「この防御機能を適用するに当たっては、ユーザーは何もする必要がなく、新しい指示が表示されることもない」とローレンス氏。

　これはつまり、IE 8が正式にリリースされたら、IE向けアドオンの開発者はアドオンを問題なく動作させるためにコードを書き換える必要があるということだ。

　MicrosoftからIE関連製品開発者に向けたアドバイスは以下の通り。

• アドオンのコードで旧バージョンのATL（Active Template Library）を利用している場合、ATL バージョン7.1 SP1以上（Visual Studio 2005にはATL 8.0が含まれる）で再構築する
• リンカオプション/NXCOMPATを設定し、アドオンがDEP・NXと互換性があることを指定する
• Windows Vista SP1上でIE 8のβ版を使って、DEP・NXがオンの状態でコードをテストする（または、Windows Vista上でDEP・NX機能をオンにしたIE 7を使ってテストする。IE 7でDEP・NX機能をオンにするには、IEを管理者モードで起動し、「ツール」→「インターネット オプション」→「詳細設定」タブの適切なチェックボックスをチェックする）
• コードをほかの有効な防御機能に最適化する。有効な防御機能としては、スタックチェック呼び出しの制御（/Gs）、安全な例外処理（/SafeSEH）、ASLR（Address Space Layout Randomizationの/DynamicBase）などがある

　「バージョンの古いATLの使用以外の理由でアドオンがDEP・NX非互換になるケースはまれだが、その場合は非互換なアドオンのアップデート版を導入するまでIEのDEP・NX機能をオプトアウトする『Group Policy』オプションを設定すればいい」（ローレンス氏）

　同氏はまた、DEP・NXの変更は、IE 8の新しいセキュリティ機能が3つの重大なセキュリティ攻撃（ソーシャルエンジニアリング、Webサーバの脆弱性を突くもの、ブラウザの脆弱性を突くもの）を標的にすることを意味すると語った。IE 8は、「Safety Filter」と呼ばれる新たなフィッシング／マルウェア対策コンポーネントを特徴とする。Safety Filterは、ユーザーのPCに害を与えたりユーザーの大切な情報を盗む可能性のある悪意のあるソフトウェアを含むとされるWebサイトを遮断する機能だ。

　ローレンス氏によると、IE 8はActiveXコントロールのより高度な制御と、安全なマッシュアップのための新しいAjax機能「XDomainRequest」「XDM」も提供するという。

原文へのリンク