2006年3月1日
 |
「Internet Explorer 7 Beta 2」では、最新のインターネットテクノロジーである“AJAX”のサポートも改善されている。 |
米マイクロソフト社(Microsoft)の次世代のウェブブラウザー「Internet Explorer 7」(IE7)の新機能/新仕様を、一般公開されて間もない“Beta 2 Preview”から紐解く特別企画の第2回では、セキュリティーや管理機能の変更についてレポートする。
セキュリティーを強化したIE7
Internet Explorer 6(IE6)ではセキュリティーに関する問題が続出した。そのためIE7では、セキュリティーに関するさまざまな機能が強化されている。
マルウェア対策
“Malware(マルウェア)”とは、日本語では“悪意のあるソフトウェア(Mailcious softWare)”と呼ばれているもので、システムに対してなんらかのトラブルを引き起こすことを目的にしたソフトウェアのことだ。IE6はセキュリティー上の問題から、マルウェアの侵入ルートとして利用されることが多かったため、IE7ではマルウェアの侵入を防げるように設計されている。
IE6ではURL中に余分な文字列を入れることで、ブラウザーに“バッファーオーバーランエラー”を引き起こし、パソコンに悪意のあるプログラムを実行させることができた。これを利用した悪意のあるウェブサイトにアクセスすると、パソコンが勝手に再起動したり、ウイルスや“トロイの木馬”に侵入されることもある。IE6ではその対策として、バッファーオーバーランエラーを起こす問題点が見つかるたびに、パッチをリリースしてていた。しかしそれでは後手後手に回ってしまうし、大量のクライアントパソコンすべてにパッチを適用する手間もかかる。
IE7ではウェブブラウザー開発の段階で、バッファーオーバーランエラーを起こさないようなソフト開発を進めている。それでも人間が開発をしている以上、エラーが起こる可能性はある。そこでIE6でも大きな問題になったURLを使ったトラブルに対しては、URLを解釈する部分を新たに開発しなおし、余計な文字列が入ってきたときはURLエラーとして処理するように変更した。これにより、URL解釈のバグを利用するシステム侵入は激減させられる。
またURL解釈部分を新開発したことで、インターネットの国際的な文字セットや、ドメイン名のグローバル化(日本語ドメイン名など)にも対応可能となった。
 |
IE7ではURLに日本語ドメイン名を直接入力することができる。IE6のようなプラグインソフトは不要だ。 |
さらにMicrosoftでは、独自のスパイウェア対策プログラムを提供する(日本語版は2〜3月にベータ版をリリース予定)。これとIE7を利用すれば、スパイウェアの侵入を防いだり、インストールされたスパイウェアを簡単に発見し削除するできる。
|
|
「Microsoft AntiSpyware」を使うと、スパイウェアを検索して削除できる。日本語版は2月末から3月ごろにリリース予定。 |
クロスドメインスクリプト攻撃の抑止
クロスドメインスクリプト攻撃(クロスサイトスクリプティング)への対策も行なわれている。クロスドメインスクリプト攻撃例を挙げると、ユーザーが悪意あるウェブページにアクセスしたときに、正しいウェブサイト(例えば銀行のウェブサイト)の新規ウィンドウを開いてユーザーを騙し、IDやパスワードを入力させる。しかし実際にはハッカーのウェブサイトを経由しているため、銀行口座にアクセスするためのIDとパスワードが盗み取られてしまうというわけだ。そこでIE7では、各スクリプトの生成元となるドメイン名を把握して、スクリプトの動作を同一ドメインに限定するようにしている。つまりハッカーのウェブサイトで生成されたスクリプトでは、銀行のウェブサイトを直接利用できなくなる。これによって、悪意のあるウェブサイトが正しいウェブサイトのように振る舞い、IDやパスワードを盗み取るのを防ぐようにしている。
ちなみに次世代Windowsである「Windows Vista」では、IE7を保護(プロテクト)モードで動作させることが可能だ(Windows XPではサポートされない)。このためIE7を経由したプログラムの動作は、限定された形でしかできなくなる。これによってシステムに影響を与えるような動作を防ぐことができる。システムにアクセスするような動作は、Vistaが持っている“権限の昇格”機能を利用する必要がある。このときに権限に関して厳密にチェックすることで、セキュリティーを高めている。
 |
権限によるアクセス制御の概念図。 |
|
 |
Vistaのプロテクトモードでは、 IE7経由で実行されたプログラムの権限を制限している。 |
|
WindowsVista では、IE7の動作モードをプロテクトモードにすることで、ブラウザーを経由したプログラムの動作エラー時に致命的なエラーにならないようにする。また認証されていない動作をしないようにできる。 |
フィッシング(Phishing)対策
ここ近年インターネット上で大きな問題になっているのが“フィッシング詐欺”だ。いろいろなパターンはあるが、代表的な例としてはクレジットカード会社や銀行のオンラインバンキングの偽サイトを作って、ユーザーをメールなどで誘導し、IDとパスワードを盗む。盗んだIDなどを使い、被害者の口座から金を盗んだり、クレジットカードの偽造を行ない損害を負わせる。
そこでIE7では、フィッシング・フィルター (Phishing Filter)が搭載された。この機能ではURLを偽装しているサイトリストを、Microsoftが1時間に数回という頻度でアップデートする。このリストを参照することで、ユーザーが偽サイトにアクセスする前に警告を発する。これによりユーザーがフィッシング詐欺の引っかかることを防ぐ。
IE7ではフィッシング詐欺で特によく使われる、URL情報の詐称を防いでいる。フィッシング詐欺ではURLを偽装する手口が多く、メールなどで送られてきた偽装URLは、一見すると正しい銀行やクレジットカード会社のウェブサイトを示すように見える。ハッカーが偽のウェブサイトを本物のURLに見せかけるという、詐欺手法を使っているからだ。IE7ではこのようなURL詐称が行なわれないように、すべてのウインドウにアドレスバーが表示されるようになっている。ポップアップウインドウが表示されても、アドレスバーを見れば本物のサイトかどうかが、一目で分かるというわけだ。
 |
正しいサイトであることを表示した様子。SSLの証明書をきちん表示している。 |
|
 |
フィッシングサイトとは言えないが、疑わしいサイトということを表示した状態。 |
|
 |
対象のサイトがフィッシングサイトであることを表示した状態。 |
|
 |
IE7のツールバーからも、表示しているサイトがフィッシングサイトかどうかのチェックを行なえる。 |
 |
いちいちチェックを指示するのではなく、自動的にチェックするように設定も可能。 |
|
 |
ASCII24をチェックした結果。当然だが怪しいサイトや報告済みフィッシングサイトではないと表示された。 |
|
ウェブブラウザーに残る個人情報の削除手段の改善
またIE7では、ユーザーがウェブブラウザー上でアクセスしたウェブサイト履歴や、入力したIDやパスワードの情報を簡単に消去できるようになった。インターネットカフェや図書館などで共用のパソコンを使うと、ユーザーが見たサイトや、サイトにアクセスするときに使ったパスワードが共用パソコン上に保存されてしまう。ハッカーはこれらの保存されている情報を覗いて、個人情報やパスワードを知ることができた。
そこでIE7では、ユーザーが行なった作業(IE7のキャッシュ、パスワード、クッキー、フォームデータ、閲覧履歴)などを簡単に消去できるようになった。IE6でも消去はできたが、さまざまなダイアログにデータを消去するボタンが分散していた。そのため必要な作業手順を知らない一般ユーザーにとっては、自分が行なった作業の痕跡すべてを消去するのは容易ではなかった。それをIE7では、まとめて消去できるように1つのダイアログに集約された。初心者ユーザーでも利用しやすくなった言えよう。
 |
IE7上に残されたユーザーの個人情報などを含む各種データは、このダイアログからまとめて消去できる。 |
ActiveXコントロールの管理の改善
“悪質なプログラムをインストールする”として問題になっていた“ActiveXコントロール”だが、Windows XP SP2以上では“アドオンの可能”機能が用意され、インストールされたActiveXコントロールを1つ1つ選んで、動作させるかどうか(有効/無効)を設定可能となった。これにより、問題がありそうなActiveXコントロールだけを無効にしたり、トラブルがあったときにはすべてのActiveXコントロールを無効にすることが可能だ。さらにIE7では、必要のないActiveXコントロールを選んで、削除する機能も用意された。
 |
ツールメニューの “Manage Add-ONs(アドオンの管理)”から、ActiveXコントロールの有効/無効を選択したり、不必要なものを削除できる。 |
プラットフォームと管理性の強化
IE7ではインターネットの最新テクノロジーに対応するため、いくつもの機能が強化されている。特にIE6で不評だった“CSS(Cascading Style Sheets)”の不整合を修正し、 “CSS 2.1”の準拠を最優先にしている。これによりIE6では“div”タブの処理が変更され、配置とレイアウトに関するバグ(※1)が修正されている。CSS 2.1のサポートを強化することで、ウェブページの表示をデザイナーの意図どおりに行なうことができる。(画像14、15)(画像16、17)
※1 詳細は“Peek-a-boo IE6 Bug”(英語サイト)を参照。
|
|
IE6でのdivタブの処理は、左のようにエラー表示される。右のIE7では正しく表示される。 |
 |
Acid2のテストは、規格を正しく処理するウェブブラウザーなら左に見えるはず。 |
|
 |
しかしIE7でAcid2のテストを行なうと、このようなエラー表示となり、Acid2のテストをパスしない。ただしIE6よりも、CSS関連は規格に沿った仕様になっている。 |
|
AJAXサポートの改善
インターネットの最新テクノロジーとして注目を浴びているのが“AJAX(エージャックス)”だ。AJAXは “Asynchronous JavaScript+XML”という既存のテクノロジーを使いながら、インタラクティブ性のあるウェブページを作成する技術だ。例えば、プラグインを使用せずにインタラクティブな地図サービスを提供している“Google Map”や“MSN Virtual Earth” などは、AJAXによって構築されている。
IE6では、AJAXが使用するXMLHTTPリクエストを、ActiveXコントロールによって処理していた。しかしIE7はXMLHTTPリクエストをネイティブでサポートするようになり、互換性やセキュリティーの向上が図られている。
 |
AJAXを使って作られた “MSN Virtual Earth”。IE7ではプラグインソフトを使わずに、マウスをドラッグすることで地図を動かすウェブアプリケーションを実現している。 |
OSがRSSのプラットフォームに
前回紹介したRSS機能は、単にIE7の機能としてサポートされているだけではない。RSS機能はOSのプラットフォームの一部 (Windows RSS Platform)としてサポートされるようになる。これによりVistaやXP SP2では、RSSの各種機能を Windows API経由で、ほかのアプリケーションからも利用できるようになる。このRSS用APIでは、RSSフィードのダウンロード、保存、アクセスなどがサポートされている。
さらにMicrosoftでは、既存のRSSを機能拡張した“Simple List Extension 1.0”仕様をRSSコミュニティーに対して提案しており、IE7ではこの仕様が先取りでサポートされている。この仕様を利用することで、ユーザーや開発者は情報のコンテンツリストのフィルター(絞り込み)やソート(分類/並べ換え)やピボット(表示切り替え)などが簡単に行なえるようになる。
またこれ以外にも、米Amazon.com社の子会社である米A9.com社とMicrosoftが共同で規格を策定した“OpenSearch”もサポートされている。OpenSerachを利用すると、検索結果はXMLフォーマットで出力される。現在はHTMLで単にウェブページとして表示している検索結果を、XMLデータとしてさまざまなアプリケーションで利用できるようになる。
Vista+IE7は移行するメリットが高い
実際にBeta2をテストしてみると、2005年にリリースされたBeta1とは、比べ物にならないほど安定性が高まっている。まだいくつかバグが残っていたり、既存のActiveXコントロールとの互換性で問題が挙がってはいる。しかしこれらの問題点も、正式リリースまでには修正される予定だ。ウェブブラウザーの機能面では、先行する米 Mozilla Foundationの「FireFox」やノルウェーOpera Software社の「Opera」に追いついてきたといえるだろう。
ただ、CSS1やHTML4を含むW3C勧告のサポート状況を調査する“Web Standards Project”のAcid2テストプログラムを、「IE7が合格することは困難」とIEチームのブログで表明されている。IE7もパーフェクトなわけではない。しかしIE6よりも互換性はアップしているし、セキュリティー面も向上している(と思う)。 Vista上でのプロテクトモード動作のサポートやRSSプラットフォームのサポートなどを考えると、OS+IE7というトータルな環境を移行するメリットは高いと感じた。ちなみに、IE6.0リリース時にはメールソフトの「Outlook Express 6.0」がバンドルされていたが、IE7には Outlook Expressは入っていない。長年使われてきたOutlook Expressも、ようやくお役ご免というところだろうか。
(山本 雅史)
| 
