2008年08月29日 07時30分 UPDATE
特集/連載

新たな2つのセキュリティ機能ActiveXのセキュリティが改善されるInternet Explorer 8

IE 8には、悪質なActiveXコントロールがシステム上で悪事を働くチャンスを減らすのに役立つ2つのメカニズムが搭載される。

[Brien M. Posey,TechTarget]

 わたしは最近、「気になるInternet Explorer 8のWebセキュリティ機能」という記事の中で、「MicrosoftはInternet Explorer 8(以下、IE 8)開発目標の1つがセキュリティの改善だとしているが、これは二次的な目標であり、Web標準のサポートの改善に主眼が置かれている」と述べた。

 また、「ドメイン強調」や「Safety Filter」といった新しいセキュリティ機能についても解説した。その時点では、Microsoftが公表していた新しいセキュリティ機能はこれだけだった。しかしMicrosoftはその後、IE 8のセキュリティ機能をさらに幾つか明らかにした。本稿では、ブラウザベースの攻撃を防止するための新機能を紹介する。

 IEのセキュリティにとって最大の敵はブラウザベースの攻撃であり、Microsoftはバージョン6と7で、Webページに埋め込んだ悪質なコードを利用した攻撃に対するIEの脆弱性を修正するために大いに努力した。しかし残された課題はまだ多い。

ブラウザ攻撃でActiveXが果たす役割

 この種の攻撃コードは、ActiveXコントロールを通じて配布されることが多い。ActiveXコントロールは、MicrosoftのCOM(Component Object Model)アーキテクチャをベースとするソフトウェアモジュールで、ブラウザ用プラグインとして機能するミニアプリケーションのようなものだといえる。ActiveXコントロールは基本的に、WebサイトがWindowsに直接働き掛け、標準のHTMLコードやスクリプティング手法では不可能な機能を実行することを可能にする。

 残念ながら、ActiveXコントロールを完全に排除するのは現実的な選択肢ではない。それらに依存している正規のWebサイトが数多く存在するからだ。Microsoft自身もActiveXコントロールを広範に活用している。Windows Vista用のパッチやユーティリティをダウンロードする際に、ユーザーが正規ライセンス版Vistaが動作しているかを確認するために、ダウンロード元のWebサイトがチェックを行うことが多い。このライセンスチェックでもActiveXコントロールが利用されている。

 しかし悪質なActiveXコントロールが非常に多く存在することが明らかになったため、MicrosoftはIE 7で、WebサイトがActiveXコントロールを利用しようとするたびに警告を表示させるようにした。問題は、ほとんどの一般のユーザーがActiveXコントロールとは何なのか、あるいはActiveXコントロールの実行を許可することでどんな結果を招く可能性があるのかを理解していないということだ。このため、IE 7は従来バージョンの場合と同類の攻撃を受けることが多い。エンドユーザーが悪質なコードの実行を許可するからだ。

ActiveXの脅威に対処するIE 8

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news024.jpg

シェアエコノミー――「交換価値」から「使用価値」へのシフトで社会全体のエクスペリエンスを最適化する
顧客の過去・現在・未来のエクスペリエンスは「データ」を媒介にして1本の「時間」の軸で...

news021.jpg

ソーシャルビッグデータで占う東京都知事選、現在の情勢は?
「調査のチカラ」にストックされた8万件の調査データをさまざまな角度から紹介する週末企...

news135.jpg

シャノン、「イベントマーケティングアナリティクス」を提供開始
シャノンは、マーケティングオートメーションツール「SHANON MARKETING PLATFORM」に、イ...