2008年08月29日 07時30分 UPDATE
特集/連載

新たな2つのセキュリティ機能ActiveXのセキュリティが改善されるInternet Explorer 8

IE 8には、悪質なActiveXコントロールがシステム上で悪事を働くチャンスを減らすのに役立つ2つのメカニズムが搭載される。

[Brien M. Posey,TechTarget]

 わたしは最近、「気になるInternet Explorer 8のWebセキュリティ機能」という記事の中で、「MicrosoftはInternet Explorer 8(以下、IE 8)開発目標の1つがセキュリティの改善だとしているが、これは二次的な目標であり、Web標準のサポートの改善に主眼が置かれている」と述べた。

 また、「ドメイン強調」や「Safety Filter」といった新しいセキュリティ機能についても解説した。その時点では、Microsoftが公表していた新しいセキュリティ機能はこれだけだった。しかしMicrosoftはその後、IE 8のセキュリティ機能をさらに幾つか明らかにした。本稿では、ブラウザベースの攻撃を防止するための新機能を紹介する。

 IEのセキュリティにとって最大の敵はブラウザベースの攻撃であり、Microsoftはバージョン6と7で、Webページに埋め込んだ悪質なコードを利用した攻撃に対するIEの脆弱性を修正するために大いに努力した。しかし残された課題はまだ多い。

ブラウザ攻撃でActiveXが果たす役割

 この種の攻撃コードは、ActiveXコントロールを通じて配布されることが多い。ActiveXコントロールは、MicrosoftのCOM(Component Object Model)アーキテクチャをベースとするソフトウェアモジュールで、ブラウザ用プラグインとして機能するミニアプリケーションのようなものだといえる。ActiveXコントロールは基本的に、WebサイトがWindowsに直接働き掛け、標準のHTMLコードやスクリプティング手法では不可能な機能を実行することを可能にする。

 残念ながら、ActiveXコントロールを完全に排除するのは現実的な選択肢ではない。それらに依存している正規のWebサイトが数多く存在するからだ。Microsoft自身もActiveXコントロールを広範に活用している。Windows Vista用のパッチやユーティリティをダウンロードする際に、ユーザーが正規ライセンス版Vistaが動作しているかを確認するために、ダウンロード元のWebサイトがチェックを行うことが多い。このライセンスチェックでもActiveXコントロールが利用されている。

 しかし悪質なActiveXコントロールが非常に多く存在することが明らかになったため、MicrosoftはIE 7で、WebサイトがActiveXコントロールを利用しようとするたびに警告を表示させるようにした。問題は、ほとんどの一般のユーザーがActiveXコントロールとは何なのか、あるいはActiveXコントロールの実行を許可することでどんな結果を招く可能性があるのかを理解していないということだ。このため、IE 7は従来バージョンの場合と同類の攻撃を受けることが多い。エンドユーザーが悪質なコードの実行を許可するからだ。

ActiveXの脅威に対処するIE 8

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news096.jpg

モリサワとさくらインターネットが協業、Webフォント30書体をレンタルサーバ利用者に無料で提供
モリサワとさくらインターネットが協業し、「さくらのレンタルサーバ」利用者に向け、モ...

news091.jpg

セールスフォーム・ドットコム、新機能「Pardot Engagement Studio」の提供を開始
セールスフォース・ドットコムは、Salesforce Pardotの新機能「Pardot Engagement Studio...

news044.jpg

トランスコスモス、VRコンテンツのプロモーション活用を促進するパッケージを提供開始
トランスコスモスは、360度パノラマ映像によるVR体験ができる「360度・VRコンテンツスタ...