IE 7 は本当に安全なのか
Microsoft はついに待望の Internet Explorer 7.0 ブラウザを公開した。2002年の発売以来、IE 6 はその特性が大きく変わるような本格的なアップデートはしてこなかったが、今回 Windows ユーザーは IE 6 に代わる IE 7のダウンロードプログラムを無料で入手できるようになった。
IE 6 は Microsoft の広報活動に影響する重大な問題を起こしてきた。ほとんど毎月のように、コードがドライブバイダウンロードに対して脆弱だとか、ハッカーサイトが悪用できるような危険に弱いといった警告が次々に出されている。
IE 7 でこのようなセキュリティの甘さの大部分を解決できた、というのはいい知らせだ。しかもそのうち一部については、IE 6 時代には Microsoft がけっしてパッチで解決できなかった点だ。しかし、今回の新バージョンも完璧というわけではなく、注意すべき問題がある。
IE 7での改善点
IE 7 では本文では説明しきれないほど多くのセキュリティの強化がされている。ここでは特に重要な変更点のみをあげることにする。
・セキュリティゾーンによる制御の改善
IE 6 では、“信頼済みサイトゾーン”に属する Web サイトは、訪問者のマシンにプログラムをインストールしたり、その他の行動を起こすことが広範囲にわたって行うことができるように設定されている。
IE 7 ではデフォルト設定として、“信頼済みサイトゾーン”に属するサイトは、“インターネットゾーン”に属するサイトと同様の特権しか与えられない。信頼済みサイトの能力は簡単に増やすことができるが、これには一般的なユーザーにはないような知識が必要だ。
また非常に高い特権を与える“イントラネットゾーン”が、Windows の Home Edition から消えたことも改善点だ。これにより、Web サイトが“イントラネット”サイトをよそおうといった機会を減らすことになる。
・ActiveX のオプトイン
ここ数年の間 IE 6 にまつわるトラブルの多くは、通常 ActiveX コントロール形式の“アクティブコンテンツ”に関係していた。 Microsoft が開発したこの技術は、Web サイトから訪問者の PC にコードをインストールしたり、その他不快な行動を起こすことを可能にした。IE 7 ではデフォルトでそのようなコードは実行しないようになっていて、信頼できないサイトから攻撃されないように、初心者を守っている。
・フィッシング詐欺検出機能
Microsoft は、金融サイトをよそおい、だまされやすいメールの受信者からパスワードを手に入れようとするサイトの巨大データベースを持っている。IE 7 では、このデータベースに登録されたサイトにユーザーが訪れると、警告が発せられるようになっている。
しかし驚いたことに、フィッシング詐欺検出機能はデフォルトでは解除されている。ユーザーはフィルターを作動させるための設定を行わなければならないが、その方法はいたって簡単だ。IE 7 を初めて開いたときに、設定するように促される。
・保護モード
これは Windows Vista で IE 7 を起動しているときのみ作動する機能で、Windows XP や Windows 2003 では使えない。保護モードにより、Web サイトからシステムファイルや設定の変更ができなくなる。したがって不正サイトからさらにユーザーの安全を守ることができるはずである。
その他にも IE 7 にはセキュリティ上の問題がいくつか改善されている。詳しくは、Microsoft の Internet Explorer 7 の機能を参考のこと。
IE 7の“初の脆弱性”
IE 7 で見つかったとされる“初の脆弱性”について、さまざまなことが言われた。脆弱性が存在するのは事実だが、これは IE 5 にも IE 6 にもあったものだ。ユーザーが簡単に対処できるものではあるが、Microsoft はこれまで修正してこなかった。
Denmark のセキュリティ会社 Secunia は10月19日、IE 7 で開いている他の Web サイトのデータを不正な Web サイトが盗むことができると報告した。例えば、偶然オンラインバンキングアプリケーションにログインしているユーザーが、同時にハッカーサイトを訪れていたとすると、不正サイトがバンキングサイトの情報を見ることができるということだ。
Microsoft の開発者はその弱点を問題にせず、10月19日付けの Blog の投稿で、それは Outlook Express のコンポーネントの問題で、IE 7 の問題ではないとしている。
私がこの主張を検証したところ、悪用されるコードは Outlook Express のコードだとしても、本当の問題は IE 7 にあることがわかった。さらに、SANS Internet Storm Center は 10月20日、IE 7 にセキュリティの脆弱性があることを認めている。
Secunia は、安全性に問題のないブラウザテストページを掲載している。是非このテストを行ってほしい。また同社は、問題点を IE 7 用と IE 5 および6用のふたつに分けて解説している。
Secunia が推奨する回避策を試してみたところ、うまく行くことがわかった。 IE ツールバーのインターネットオプションメニューからセキュリティタブを選択し、レベルのカスタマイズを行う。オプションの ActiveX コンテンツの実行を“無効”に切り替え、Secunia のブラウザテストを再び実行する。IE のコピーでこのように設定を変更し再テストしたところ、ブラウザの脆弱性はみつからなくなった。
もちろん、 Firefox ブラウザではどのバージョンについても Secunia のテストで脆弱性はみつかっていない。 Microsoft がこの問題点とその他のセキュリティホールをすべて解決するまでは、私は Web サーフィンをするのにもっとも安全なブラウザとして Firefox を薦める。
IE 7 から利益を得る
一部の Web サイトでは正常に機能させるために Internet Explorer を使うことを要求している。そのため、どの会社も、IE 7 とそれぞれの会社の業務で使用するアプリケーションとが問題を起こさないことが確認できたらすぐに、IE 7 にアップグレードするべきだ。アップグレードすることで、ドライブバイダウンロードやその他の怪しい行為を行おうとするサイトにユーザーが知らず知らず訪れてしまったとき、IE 6 では問題になっていたことを避けられるかもしれない。
Microsoft は11月1日より、優先度の高いダウンロード商品として IE 7 を提供し始める。 Microsoft のサーバーの帯域幅需要を減らすために、数か月にわたって段階的にこの新ブラウザのダウンロードを行うことが想定されている。もし会社のシステムと不適合があることがわかった場合、完全に準備が整うまでダウンロードを延期したいと思うことだろう。
Microsoft はそのような会社のために、エンドユーザーが通常の Windows Update の間に IE 7 のダウンロードを自動的に行わないようにする IE 7 Blocker Toolkit を提供している。詳細については、Microsoft の IE 7 自動アップデートに関する通知および Blocker Toolkit の FAQ を参照のこと。
これらのツールは、 Microsoft のサイトに直接行って、自発的に IE 7 をダウンロードしようとするエンドユーザーをとめることはできない。しかし、ほとんどの場合、エンドユーザーが IE 7 へのアップグレードサービスを目にするのを防いでくれる。
ほとんどのブラウザ機能を Firefox に頼っているとしても、できるだけ早く IE 7 にアップグレードすることだ。少なくとも世界でもっともセキュリティに弱いブラウザを使ってはいないとの安心感は得られるはずだ。