2008年08月29日 07時30分 UPDATE
特集/連載

新たな2つのセキュリティ機能ActiveXのセキュリティが改善されるInternet Explorer 8

IE 8には、悪質なActiveXコントロールがシステム上で悪事を働くチャンスを減らすのに役立つ2つのメカニズムが搭載される。

[Brien M. Posey,TechTarget]

 わたしは最近、「気になるInternet Explorer 8のWebセキュリティ機能」という記事の中で、「MicrosoftはInternet Explorer 8(以下、IE 8)開発目標の1つがセキュリティの改善だとしているが、これは二次的な目標であり、Web標準のサポートの改善に主眼が置かれている」と述べた。

 また、「ドメイン強調」や「Safety Filter」といった新しいセキュリティ機能についても解説した。その時点では、Microsoftが公表していた新しいセキュリティ機能はこれだけだった。しかしMicrosoftはその後、IE 8のセキュリティ機能をさらに幾つか明らかにした。本稿では、ブラウザベースの攻撃を防止するための新機能を紹介する。

 IEのセキュリティにとって最大の敵はブラウザベースの攻撃であり、Microsoftはバージョン6と7で、Webページに埋め込んだ悪質なコードを利用した攻撃に対するIEの脆弱性を修正するために大いに努力した。しかし残された課題はまだ多い。

ブラウザ攻撃でActiveXが果たす役割

 この種の攻撃コードは、ActiveXコントロールを通じて配布されることが多い。ActiveXコントロールは、MicrosoftのCOM(Component Object Model)アーキテクチャをベースとするソフトウェアモジュールで、ブラウザ用プラグインとして機能するミニアプリケーションのようなものだといえる。ActiveXコントロールは基本的に、WebサイトがWindowsに直接働き掛け、標準のHTMLコードやスクリプティング手法では不可能な機能を実行することを可能にする。

 残念ながら、ActiveXコントロールを完全に排除するのは現実的な選択肢ではない。それらに依存している正規のWebサイトが数多く存在するからだ。Microsoft自身もActiveXコントロールを広範に活用している。Windows Vista用のパッチやユーティリティをダウンロードする際に、ユーザーが正規ライセンス版Vistaが動作しているかを確認するために、ダウンロード元のWebサイトがチェックを行うことが多い。このライセンスチェックでもActiveXコントロールが利用されている。

 しかし悪質なActiveXコントロールが非常に多く存在することが明らかになったため、MicrosoftはIE 7で、WebサイトがActiveXコントロールを利用しようとするたびに警告を表示させるようにした。問題は、ほとんどの一般のユーザーがActiveXコントロールとは何なのか、あるいはActiveXコントロールの実行を許可することでどんな結果を招く可能性があるのかを理解していないということだ。このため、IE 7は従来バージョンの場合と同類の攻撃を受けることが多い。エンドユーザーが悪質なコードの実行を許可するからだ。

ActiveXの脅威に対処するIE 8

ITmedia マーケティング新着記事

news112.jpg

「メルカリハイ」の謎を解く――4人に1人が100円以下の利益でもフリマアプリに出品
なぜ人は100円以下の少額利益でもフリマアプリに出品してしまうのか。謎を解く鍵は「承認...

news049.jpg

買い物場所の使い分け調査2019――日本能率協会総合研究所
コンビニエンスストア、ドラッグストア、100円ショップなど業態別利用実態と「そこで買う...

news060.jpg

セブン&アイが自社にデータドリブンカルチャーを醸成するために使う「Tableau Blueprint」とは?
データドリブン組織を実現するための標準的な計画手順、推奨事項、ガイドラインをまとめ...