【特別企画】Internet Explorer 7 Beta 2レビュー Part2 Beta 2で見る、Internet Explorer 7はここが変わった！――セキュリティー、管理編 米マイクロソフト社 http://www.microsoft.com/windows/ie_in tl/ja/default.mspx

「Internet Explorer 7 Beta 2」では、最新のインターネットテクノロジーである“AJAX”のサポートも改善されている。

米マイクロソフト社(Microsoft)の次世代のウェブブラウザー「Internet Explorer 7」(IE7)の新機能/新仕様を、一般公開されて間もない“Beta 2 Preview”から紐解く特別企画の第2回では、セキュリティーや管理機能の変更についてレポートする。

セキュリティーを強化したIE7

　Internet Explorer 6(IE6)ではセキュリティーに関する問題が続出した。そのためIE7では、セキュリティーに関するさまざまな機能が強化されている。

マルウェア対策

　“Malware(マルウェア)”とは、日本語では“悪意のあるソフトウェア(Mailcious softWare)”と呼ばれているもので、システムに対してなんらかのトラブルを引き起こすことを目的にしたソフトウェアのことだ。IE6はセキュリティー上の問題から、マルウェアの侵入ルートとして利用されることが多かったため、IE7ではマルウェアの侵入を防げるように設計されている。

　IE6ではURL中に余分な文字列を入れることで、ブラウザーに“バッファーオーバーランエラー”を引き起こし、パソコンに悪意のあるプログラムを実行させることができた。これを利用した悪意のあるウェブサイトにアクセスすると、パソコンが勝手に再起動したり、ウイルスや“トロイの木馬”に侵入されることもある。IE6ではその対策として、バッファーオーバーランエラーを起こす問題点が見つかるたびに、パッチをリリースしてていた。しかしそれでは後手後手に回ってしまうし、大量のクライアントパソコンすべてにパッチを適用する手間もかかる。

　IE7ではウェブブラウザー開発の段階で、バッファーオーバーランエラーを起こさないようなソフト開発を進めている。それでも人間が開発をしている以上、エラーが起こる可能性はある。そこでIE6でも大きな問題になったURLを使ったトラブルに対しては、URLを解釈する部分を新たに開発しなおし、余計な文字列が入ってきたときはURLエラーとして処理するように変更した。これにより、URL解釈のバグを利用するシステム侵入は激減させられる。

　またURL解釈部分を新開発したことで、インターネットの国際的な文字セットや、ドメイン名のグローバル化(日本語ドメイン名など)にも対応可能となった。

IE7ではURLに日本語ドメイン名を直接入力することができる。IE6のようなプラグインソフトは不要だ。

　さらにMicrosoftでは、独自のスパイウェア対策プログラムを提供する(日本語版は2〜3月にベータ版をリリース予定)。これとIE7を利用すれば、スパイウェアの侵入を防いだり、インストールされたスパイウェアを簡単に発見し削除するできる。

「Microsoft AntiSpyware」を使うと、スパイウェアを検索して削除できる。日本語版は2月末から3月ごろにリリース予定。

クロスドメインスクリプト攻撃の抑止

　クロスドメインスクリプト攻撃(クロスサイトスクリプティング)への対策も行なわれている。クロスドメインスクリプト攻撃例を挙げると、ユーザーが悪意あるウェブページにアクセスしたときに、正しいウェブサイト(例えば銀行のウェブサイト)の新規ウィンドウを開いてユーザーを騙し、IDやパスワードを入力させる。しかし実際にはハッカーのウェブサイトを経由しているため、銀行口座にアクセスするためのIDとパスワードが盗み取られてしまうというわけだ。そこでIE7では、各スクリプトの生成元となるドメイン名を把握して、スクリプトの動作を同一ドメインに限定するようにしている。つまりハッカーのウェブサイトで生成されたスクリプトでは、銀行のウェブサイトを直接利用できなくなる。これによって、悪意のあるウェブサイトが正しいウェブサイトのように振る舞い、IDやパスワードを盗み取るのを防ぐようにしている。

　ちなみに次世代Windowsである「Windows Vista」では、IE7を保護(プロテクト)モードで動作させることが可能だ(Windows XPではサポートされない)。このためIE7を経由したプログラムの動作は、限定された形でしかできなくなる。これによってシステムに影響を与えるような動作を防ぐことができる。システムにアクセスするような動作は、Vistaが持っている“権限の昇格”機能を利用する必要がある。このときに権限に関して厳密にチェックすることで、セキュリティーを高めている。

権限によるアクセス制御の概念図。	Vistaのプロテクトモードでは、 IE7経由で実行されたプログラムの権限を制限している。
WindowsVista では、IE7の動作モードをプロテクトモードにすることで、ブラウザーを経由したプログラムの動作エラー時に致命的なエラーにならないようにする。また認証されていない動作をしないようにできる。

フィッシング(Phishing)対策

　ここ近年インターネット上で大きな問題になっているのが“フィッシング詐欺”だ。いろいろなパターンはあるが、代表的な例としてはクレジットカード会社や銀行のオンラインバンキングの偽サイトを作って、ユーザーをメールなどで誘導し、IDとパスワードを盗む。盗んだIDなどを使い、被害者の口座から金を盗んだり、クレジットカードの偽造を行ない損害を負わせる。

　そこでIE7では、フィッシング・フィルター (Phishing Filter)が搭載された。この機能ではURLを偽装しているサイトリストを、Microsoftが1時間に数回という頻度でアップデートする。このリストを参照することで、ユーザーが偽サイトにアクセスする前に警告を発する。これによりユーザーがフィッシング詐欺の引っかかることを防ぐ。

　IE7ではフィッシング詐欺で特によく使われる、URL情報の詐称を防いでいる。フィッシング詐欺ではURLを偽装する手口が多く、メールなどで送られてきた偽装URLは、一見すると正しい銀行やクレジットカード会社のウェブサイトを示すように見える。ハッカーが偽のウェブサイトを本物のURLに見せかけるという、詐欺手法を使っているからだ。IE7ではこのようなURL詐称が行なわれないように、すべてのウインドウにアドレスバーが表示されるようになっている。ポップアップウインドウが表示されても、アドレスバーを見れば本物のサイトかどうかが、一目で分かるというわけだ。

正しいサイトであることを表示した様子。SSLの証明書をきちん表示している。

フィッシングサイトとは言えないが、疑わしいサイトということを表示した状態。

対象のサイトがフィッシングサイトであることを表示した状態。

IE7のツールバーからも、表示しているサイトがフィッシングサイトかどうかのチェックを行なえる。

いちいちチェックを指示するのではなく、自動的にチェックするように設定も可能。

ASCII24をチェックした結果。当然だが怪しいサイトや報告済みフィッシングサイトではないと表示された。

• Internet Explorerの弱点であるセキュリティーを改善
• OSプラットフォーム自体も改善するIE7