| |
|
製品レビュー
使い勝手とセキュリティ機能が改善された新ブラウザ、Internet Explorer 7
4.セキュリティ機能の強化
海津 智宏
2006/04/20 |
|
|
セキュリティ機能の強化(1):フィッシング・サイト警告
IE7の機能強化の大きな柱の1つは、セキュリティ機能の向上である。IE7には、これを目的としたさまざまな機能が盛り込まれている。ここでIE7のセキュリティ機能について順に見ていこう。
フィッシング・サイトによる詐欺事件などが社会問題化している。フィッシング(phishing)とは、Webサイトを悪用した詐欺行為のことで、例えば銀行のサイトを装って、口座情報やクレジット・カード情報をユーザーに入力させ、窃取した情報を悪用するなどの犯罪行為である。
こうしたフィッシング被害を防止するため、IE7にはフィッシング・フィルタと呼ばれる機能が搭載されることとなった。このフィッシング・フィルタにより、既知のフィッシング・サイトを訪問したときや、URLなどからフィッシング・サイトであると推測されるサイトを訪問したときには警告が表示される。
 |
| フィッシング・サイトと疑われる場合の表示 |
URLやコード内容により、フィッシング・サイトの可能があると、このような警告ダイアログが表示される。
| |
 |
アクセス先サイトのURL。フィッシングでは、ログオン操作が必要なサイトを装い、ユーザーが間違ってIDやパスワードなどの情報を入力するのを待つ。そのため、現実のURLと似ているドメイン名を使ったり、URL欄を上書きして、正当なサイトであるかのように見せかけたりすることが多い。IE7のフィッシング・フィルタはこのような兆候や、フィッシング・サイトのデータベース情報などを利用して、フィッシングであるかどうかを判別し、警告する。 |
| |
 |
フィッシング・サイトの可能性があると、このような警告が表示される。 |
| |
 |
警告のダイアログ。 |
|
この警告は訪問開始時に表示されるだけでなく、そのサイトを閲覧中は常時アドレス・バー上に表示され、危険なサイトを閲覧していることが分かるようになっている。
 |
| フィッシング・サイトの場合の表示 |
フィッシング・サイト情報のデータベースとの照合などにより、フィッシング・サイトであると判定されたサイトに移動しようとすると、このようにアドレス・バーが赤くなるとともに、画面に警告が表示される。推奨の動作は「このページを閉じる」となっている。
| |
|
警告のため、アドレス・バーが赤くなる。 |
| |
|
フィッシング・サイトであるという警告。 |
| |
|
警告メッセージ。 |
| |
 |
推奨動作。このページを閉じる。 |
| |
 |
どうしてもページを開きたい場合は、これをクリックする。ただし、これは推奨されていない動作である。 |
|
警告を無視してサイトを開くこともできるが、その場合もアドレス・バーが赤いままで、危険性が高いことを知らせている。
 |
| IE7でフィッシング・サイトを表示したところ |
警告を無視してフィッシング・サイトを表示することも可能だが、ページを表示させた後も、このようにアドレス・バーの赤色の警告は表示され続ける。
| |
|
フィッシング・サイトをアクセスしている場合は、このようにアドレス・バーが赤く表示される。 |
|
フィッシング・サイトの常とう手段は、銀行やクレジット・カード会社、大手オンライン・ショップなど、信用のあるサイトを装ってユーザーを信用させ、口座情報などを入力させる手口である。しかしサイトのURLを見ると、本物でないことが容易に分かる。このためフィッシング・サイトは、URLが表示されないポップアップ・ウィンドウを悪用するケースが少なくなかった。これに対しIE7では、従来はアドレス・バーが表示されなかったポップアップ・ウィンドウにもアドレス・バーを表示するようにした。
 |
| IE7のポップアップ・ウィンドウ |
IE7では、ポップアップ・ウィンドウにもURLが表示されるようになった。
| |
|
このように、必ずURLが表示されるので、不正なサイトを見破りやすくなる。ただし、アドレス・バー形式ではなく、このようにポップアップ・ウィンドウのタイトル部分のすぐ下に表示される。 |
|
セキュリティ機能の強化(2):個人情報の消去
Webサイトを閲覧していると、ページの表示履歴、クッキー、フォームの入力履歴などの個人情報が少しずつブラウザ内に蓄積されていく。現在のIE6でもこれらの情報は消去可能だが、消去ボタンがそれぞれ別の場所に用意されていたため、情報の完全な消去は手間だった。これに対しIE7では、[ツール]ボタンの[閲覧の履歴の削除]を実行することで、インターネット一時ファイルやクッキー、履歴、フォーム・データ、フォームに入力したパスワードをまとめて消去できるようになった。
 |
| ブラウズ履歴の消去 |
IE7では、各種のブラウズ履歴をボタン1つで簡単に素早く消去できるようにした。
| |
|
各履歴情報を個別に消去したければ、これらのボタンを使う。 |
| |
|
これをクリックすると、上記すべてのブラウズ履歴情報が消去される。 |
|
セキュリティ機能の強化(3):ActiveXコントロールの管理
WebページでActiveXコントロールを利用すると、静的なHTMLでできた通常のWebページでは不可能な表現力を持たせたページを作成できる。しかしこの半面、悪意のあるActiveXコントロールの実行により、さまざまなセキュリティ上の問題が発生することが指摘されていた。Windows XP SP2のデフォルト設定では、この問題に対処するため、ActiveXコントロールの実行が標準で無効とされ、ユーザーが許可した場合にのみ実行されるようになった。IE7でもこの方針は変わらず、ActiveXコントロールの実行は標準で無効となっている。
これに加えIE7では、ActiveXコントロールの管理画面が強化されている。[Tools]ボタンの[Manage Add-ons]を実行すると、ActiveXコントロールやツール・バー、ブラウザ・ヘルパーなどの管理画面が表示される。ここでドロップダウン・リストから[Downloaded ActiveX Controls]を選択すると、ActiveXコントロールのみが一覧表示されるようになった。この管理画面では、ActiveXコントロールの有効/無効を切り替えられるだけでなく、削除もできる。
 |
| ActiveXコントロールの管理ダイアログ |
| コンピュータにインストールされているActiveXコントロールを一覧表示できる。不正なActiveXコントロールが見つかった場合は、ここで無効にしたり、削除したりすることも可能。 |
セキュリティ機能の強化(4):暗号化通信
住所や氏名、クレジット・カード情報などをWebで送受信する際、データが途中で窃取されないように保護するために、SSL(Secure Sockets Layer)などの技術を利用した暗号化が広く用いられている。従来からIEでは、暗号化の方法としてSSLv2、SSLv3、TLSv1を利用可能だった。しかし、このうちSSLv2にはプロトコル上の欠陥があり、脆弱性が指摘されていた。そのためIE7では、デフォルトでSSLv2が無効化され、代わりにSSLv3とTLSv1が有効となった。これにより、暗号化通信の安全性が向上した。
また、SSLなどで通信を行う際、Webサイトの素性を証明するために証明書が使われる。この証明書の有効性はインターネット上にある「信頼された認証局」が保証するのだが、この認証局を自身で構築するなどして、正規の証明書を装う、いわゆる「オレオレ証明書」が悪用される場合があった。これに対しIE7では、信頼されていない発行元の証明書を利用している場合は次のような警告が表示され、その危険性がユーザーに対して強調されるようになっている。
 |
| 信頼されていない認証局の証明書に対する警告 |
| 信頼されていない認証局の証明書を利用していると、このようにアドレス・バーが赤色表示になり、“証明書のエラー”という警告が表示される。 |
セキュリティ機能の強化(5):悪意のあるソフトウェアの削除ツール
マイクロソフトは、2005年1月から、Windows Update(現在は後継のMicrosoft Updateも利用可能。以下両者をまとめてWU/MUと表記する)で「悪意のあるソフトウェアの削除ツール」の無償提供を開始した。このツールは、ウイルスやワームがコンピュータに存在しないかどうかをチェックし、存在した場合はそれらを排除するものだ。チェックできるウイルス/ワームは一部であり、市販のウイルス対策ソフトウェアのように組織的なウイルス対策は不可能だが、重要度の高いものについてはこれで最低限のチェックと対策ができる。このツールは、毎月の修正プログラム公開時に新版がリリースされ、WU/MUに登録される。WU/MUを有効にしていれば、毎月このツールが実行され、悪意のあるソフトウェアがインストールされていないかがチェックされるという具合だ。
IE7のインストール時には、自動的にこのツールが実行されるようになった。重大なウイルス/ワームに感染したコンピュータでIE7を使い始めないようにする措置のようだ。
セキュリティ機能の強化(6):Protected Mode
IE7は、次期Windowsとして開発が進められているWindows Vistaに搭載される“Protected Mode”と呼ばれる新機能に対応している。Windows Vistaでは、IE7はProtected Modeという制限されたモードで動作するため、悪意のあるプログラムが実行された場合でも、許可されていないフォルダにデータが書き込まれたり、重要なファイルが削除されたりすることを防止できるとしている。ただしこれは、Windows Vista特有の機能であり、Windows XPにIE7をインストールしても利用できない。この機能については、今後Windows Vistaの解説記事で触れることにする。
Windows Server Insider フォーラム 新着記事
