ActiveXのセキュリティが改善されるInternet Explorer 8：新たな2つのセキュリティ機能

IE 8には、悪質なActiveXコントロールがシステム上で悪事を働くチャンスを減らすのに役立つ2つのメカニズムが搭載される。

≫ 2008年08月29日 07時30分公開

[Brien M. Posey，TechTarget]

　わたしは最近、「気になるInternet Explorer 8のWebセキュリティ機能」という記事の中で、「MicrosoftはInternet Explorer 8（以下、IE 8）開発目標の1つがセキュリティの改善だとしているが、これは二次的な目標であり、Web標準のサポートの改善に主眼が置かれている」と述べた。

　また、「ドメイン強調」や「Safety Filter」といった新しいセキュリティ機能についても解説した。その時点では、Microsoftが公表していた新しいセキュリティ機能はこれだけだった。しかしMicrosoftはその後、IE 8のセキュリティ機能をさらに幾つか明らかにした。本稿では、ブラウザベースの攻撃を防止するための新機能を紹介する。

　IEのセキュリティにとって最大の敵はブラウザベースの攻撃であり、Microsoftはバージョン6と7で、Webページに埋め込んだ悪質なコードを利用した攻撃に対するIEの脆弱性を修正するために大いに努力した。しかし残された課題はまだ多い。

ブラウザ攻撃でActiveXが果たす役割

　この種の攻撃コードは、ActiveXコントロールを通じて配布されることが多い。ActiveXコントロールは、MicrosoftのCOM（Component Object Model）アーキテクチャをベースとするソフトウェアモジュールで、ブラウザ用プラグインとして機能するミニアプリケーションのようなものだといえる。ActiveXコントロールは基本的に、WebサイトがWindowsに直接働き掛け、標準のHTMLコードやスクリプティング手法では不可能な機能を実行することを可能にする。

　残念ながら、ActiveXコントロールを完全に排除するのは現実的な選択肢ではない。それらに依存している正規のWebサイトが数多く存在するからだ。Microsoft自身もActiveXコントロールを広範に活用している。Windows Vista用のパッチやユーティリティをダウンロードする際に、ユーザーが正規ライセンス版Vistaが動作しているかを確認するために、ダウンロード元のWebサイトがチェックを行うことが多い。このライセンスチェックでもActiveXコントロールが利用されている。

　しかし悪質なActiveXコントロールが非常に多く存在することが明らかになったため、MicrosoftはIE 7で、WebサイトがActiveXコントロールを利用しようとするたびに警告を表示させるようにした。問題は、ほとんどの一般のユーザーがActiveXコントロールとは何なのか、あるいはActiveXコントロールの実行を許可することでどんな結果を招く可能性があるのかを理解していないということだ。このため、IE 7は従来バージョンの場合と同類の攻撃を受けることが多い。エンドユーザーが悪質なコードの実行を許可するからだ。

ActiveXの脅威に対処するIE 8

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}