連載
» 2008年01月17日 00時00分 公開

いまさら聞けないActiveX&デジタル証明書入門いまさら聞けないリッチクライアント技術(8)(2/3 ページ)

[江原顕雄,@IT]

きちんと設定をしないと恐ろしいActiveX Control

 先ほど簡単に解説をしましたが、ActiveX ControlはIEを通じてダウンロードされ、機能を拡張することができます。Windows XP SP2でIEを使っているユーザーは次のような画面をよく見るのではないでしょうか?

図4 ActiveX Controlをインストールする前の警告 図4 ActiveX Controlをインストールする前の警告

 この画面は、まさにActiveX Controlをインストールするときに出てくる画面です。ActiveX Controlは非常に便利な機能ですが、セキュリティの設定をきちんとしておかないと、このようなアラート画面も出ずにウイルスやアドウェアといった悪意を持ったプログラム=マルウェアが勝手にインストールされて大変なことになってしまいます。

 よく「うっかりアダルトサイトを開いてしまって、マルウェアの被害に遭ってしまった」という話を聞きますが、これも原因の1つとしてActiveX Controlを使った攻撃が考えられます。

図5 勝手にマルウェアがインストールされようとしている 図5 勝手にマルウェアがインストールされようとしている

 上の画面は海外の怪しいサイトを開いた瞬間に、勝手にマルウェアがインストールを始めました。幸い確認画面を出すようにしていたので、インストールはされませんでした。ダウンロードされそうになったActiveX Controlを調べると、「トロイの木馬」と判定されました。

図6 アンチウィルスソフトが検出したトロイの木馬 図6 アンチウィルスソフトが検出したトロイの木馬

良いActiveX Controlはデジタル証明書を持っている!

 便利だからといって何も考えずにActiveX Controlをインストールすると大変な目に遭うことは皆さんお分かりになったと思われます。この対策として、きちんとしたActiveX ControlにはJISマークのように「証明書」がきちんと付いています。この証明書を「デジタル証明書」といいます。

 これは信頼のある機関が「このActiveX Controlはちゃんとしたものです!」と証明をしてくれるものです。ActiveX Controlをインストールするときは、ぜひデジタル証明書が付いているか確認しましょう。チェックの方法はとても簡単です。

図7 ActiveX Controlのインストール 図7 ActiveX Controlのインストール

 ActiveX Controlがインストールされるときに出てくる情報バー(警告バー)をクリックし、「ActiveX コントロールをインストール」を選択します。

図8 IEの「セキュリティの警告」画面 図8 IEの「セキュリティの警告」画面

 「セキュリティの警告」画面の「発行元」に記されている名前を選択します(今回は「Adobe Systems Incorporated」をクリックします)。

図9 「デジタル署名の詳細」 図9 「デジタル署名の詳細」

 「デジタル署名の詳細」が表示されます。さらに詳しい情報を見るためには、証明書の表示をクリックします。

図10 証明書の情報 図10 証明書の情報

 そうすると、このような画面が出てきます。この画面はとても重要で次の3つのポイントでチェックをしてみましょう。

【1】発行先がどこになっているか?

 画面はAdobe Systems社のFlash Playerのプラグインをインストールするときに出現したActiveX Controlなので、当然Adobe Systems社へ発行されています。ActiveX Controlを利用するサイトが同じかどうかチェックしてみましょう。

【2】発行者は誰か?

 画面では「VeriSign」社となっています。VeriSignは各種デジタル証明を発行している大手の企業です。きちんとした企業・組織が発行しているかチェックしましょう。よく分からない名前が書かれていたら、検索エンジンで調べてみましょう。

【3】デジタル証明書の有効期間は過ぎていないか?

 デジタル証明書は使用できる時期がきちんと決められています。有効期間がを過ぎていないか確認しましょう。実は、認証機関がきちんとしたデジタル証明書を発行していても、ActiveX Controlすべてをチェックしているのではないので、注意が必要です。

本当にあった怖いActiveX

 例えば、先ほどトロイの木馬をインストールしようしたActiveX Controlはどのような証明書を持っているのか見てみると、以下のようになっています。

図11 トロイの木馬をインストールしようしたActiveX Controlの証明書 図11 トロイの木馬をインストールしようしたActiveX Controlの証明書

 「Thawte」という会社がデジタル証明書を発行しています。この会社は、世界に第2位のシェア(ThawteのWebサイトより引用)を誇っているという認証機関で、怪しげな会社では決してありません。確かにデジタル証明書の有無は1つの判断基準にはなりますが、万能ではないようです。

 さらに次ページでは、IEで安全にWebブラウジングあるためのActiveXの設定方法を紹介します。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。