IE 8には、悪質なActiveXコントロールがシステム上で悪事を働くチャンスを減らすのに役立つ2つのメカニズムが搭載される。
わたしは最近、「気になるInternet Explorer 8のWebセキュリティ機能」という記事の中で、「MicrosoftはInternet Explorer 8(以下、IE 8)開発目標の1つがセキュリティの改善だとしているが、これは二次的な目標であり、Web標準のサポートの改善に主眼が置かれている」と述べた。
また、「ドメイン強調」や「Safety Filter」といった新しいセキュリティ機能についても解説した。その時点では、Microsoftが公表していた新しいセキュリティ機能はこれだけだった。しかしMicrosoftはその後、IE 8のセキュリティ機能をさらに幾つか明らかにした。本稿では、ブラウザベースの攻撃を防止するための新機能を紹介する。
IEのセキュリティにとって最大の敵はブラウザベースの攻撃であり、Microsoftはバージョン6と7で、Webページに埋め込んだ悪質なコードを利用した攻撃に対するIEの脆弱性を修正するために大いに努力した。しかし残された課題はまだ多い。
この種の攻撃コードは、ActiveXコントロールを通じて配布されることが多い。ActiveXコントロールは、MicrosoftのCOM(Component Object Model)アーキテクチャをベースとするソフトウェアモジュールで、ブラウザ用プラグインとして機能するミニアプリケーションのようなものだといえる。ActiveXコントロールは基本的に、WebサイトがWindowsに直接働き掛け、標準のHTMLコードやスクリプティング手法では不可能な機能を実行することを可能にする。
残念ながら、ActiveXコントロールを完全に排除するのは現実的な選択肢ではない。それらに依存している正規のWebサイトが数多く存在するからだ。Microsoft自身もActiveXコントロールを広範に活用している。Windows Vista用のパッチやユーティリティをダウンロードする際に、ユーザーが正規ライセンス版Vistaが動作しているかを確認するために、ダウンロード元のWebサイトがチェックを行うことが多い。このライセンスチェックでもActiveXコントロールが利用されている。
しかし悪質なActiveXコントロールが非常に多く存在することが明らかになったため、MicrosoftはIE 7で、WebサイトがActiveXコントロールを利用しようとするたびに警告を表示させるようにした。問題は、ほとんどの一般のユーザーがActiveXコントロールとは何なのか、あるいはActiveXコントロールの実行を許可することでどんな結果を招く可能性があるのかを理解していないということだ。このため、IE 7は従来バージョンの場合と同類の攻撃を受けることが多い。エンドユーザーが悪質なコードの実行を許可するからだ。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
世界のモバイルアプリ市場はこう変わる 2025年における5つの予測
生成AIをはじめとする技術革新やプライバシー保護の潮流はモバイルアプリ市場に大きな変...
営業との連携、マーケティング職の64.6%が「課題あり」と回答 何が不満なのか?
ワンマーケティングがB2B企業の営業およびマーケティング職のビジネスパーソン500人を対...
D2C事業の約7割が失敗する理由 成功企業との差はどこに?
クニエがD2C事業の従事者を対象に実施した調査の結果によると、D2C事業が成功した企業は...