製品レビュー Internet Explorer 7 Beta 2 Previewを試してみる 2．セキュリティ機能の強化 海津 智宏 2006/04/20

セキュリティ機能の強化（1）：フィッシング・サイト警告

　IE7の機能強化の大きな柱の1つは、セキュリティ機能の向上である。IE7には、これを目的としたさまざまな機能が盛り込まれている。ここでIE7のセキュリティ機能について順に見ていこう。

　フィッシング・サイトによる詐欺事件などが社会問題化している。フィッシング（phishing）とは、Webサイトを悪用した詐欺行為のことで、例えば銀行のサイトを装って、口座情報やクレジット・カード情報をユーザーに入力させ、窃取した情報を悪用するなどの犯罪行為である。

　こうしたフィッシング被害を防止するため、IE7にはフィッシング・フィルタと呼ばれる機能が搭載されることとなった。このフィッシング・フィルタにより、既知のフィッシング・サイトを訪問したときや、URLからフィッシング・サイトであると推測されるサイトを訪問したときには警告が表示される。この警告は訪問開始時に表示されるだけでなく、そのサイトを閲覧中は常時アドレス・バー上に表示され、危険なサイトを閲覧していることが分かりやすくなっている。

IE7でフィッシング・サイトにアクセスしようとしたところ

フィッシング・サイトに移動しようとすると、このようにアドレス・バーが赤くなるとともに、画面に警告が表示される。推奨の動作は「このページを閉じる」となっている。

警告のため、アドレス・バーが赤くなる。 　 フィッシング・サイトであるという警告。 　 警告メッセージ。 　 推奨動作。このページを閉じる。 　 どうしてもページを開きたい場合は、これをクリックする。推奨されていない動作。

　

IE7でフィッシング・サイトを表示したところ

警告を無視してフィッシング・サイトを表示することも可能だが、ページを表示させた後も、このようにアドレス・バーの赤色の警告は表示され続ける。

　フィッシング・サイトの常とう手段は、銀行やクレジット・カード会社、大手オンライン・ショップなど、信用のあるサイトを装ってユーザーを信用させ、口座情報などを入力させる手口である。しかしサイトのURLを見ると、本物でないことが容易に分かる。このためフィッシング・サイトは、URLが表示されないポップアップ・ウィンドウを悪用するケースが少なくなかった。これに対しIE7では、従来はアドレス・バーが表示されなかったポップアップ・ウィンドウにもアドレス・バーを表示するようにした。

IE7のポップアップ・ウィンドウ IE7では、ポップアップ・ウィンドウにもURLが表示されるようになった。 　 このように、必ずURLが表示されるので、不正なサイトを見破りやすくなる。

セキュリティ機能の強化（2）：個人情報の消去

　Webサイトを閲覧していると、ページの表示履歴、クッキー、フォームの入力履歴などの個人情報が少しずつブラウザ内に蓄積されていく。現在のIE6でもこれらの情報は消去可能だが、消去ボタンがそれぞれ別の場所に用意されていたため、情報の完全な消去は手間だった。これに対しIE7では、［Tools］ボタンの［Delete Browsing History］を実行することで、インターネット一時ファイルやクッキー、履歴、フォーム・データ、フォームに入力したパスワードをまとめて消去できるようになった。

ブラウズ履歴の消去

IE7では、各種のブラウズ履歴をボタン1つで消去できるようにした。

これをクリックすると、上記すべてのブラウズ履歴情報が消去される。 　 各履歴情報を個別に消去したければ、これらのボタンを使う。

セキュリティ機能の強化（3）：ActiveXコントロールの管理

　WebページでActiveXコントロールを利用すると、静的なHTMLでできた通常のWebページでは不可能な表現力を持たせたページを作成できる。しかしこの半面、悪意のあるActiveXコントロールの実行により、さまざまなセキュリティ上の問題が発生することが指摘されていた。Windows XP SP2のデフォルト設定では、この問題に対処するため、ActiveXコントロールの実行が標準で無効とされ、ユーザーが許可した場合にのみ実行されるようになった。IE7でもこの方針は変わらず、ActiveXコントロールの実行は標準で無効となっている。

　これに加えIE7では、ActiveXコントロールの管理画面が強化されている。［Tools］ボタンの［Manage Add-ons］を実行すると、ActiveXコントロールやツール・バー、ブラウザ・ヘルパーなどの管理画面が表示される。ここでドロップダウン・リストから［Downloaded ActiveX Controls］を選択すると、ActiveXコントロールのみが一覧表示されるようになった。この管理画面では、ActiveXコントロールの有効／無効を切り替えられるだけでなく、削除もできる。

ActiveXコントロールの管理ダイアログ

コンピュータにインストールされているActiveXコントロールを一覧表示できる。不正なActiveXコントロールが見つかった場合は、ここで無効にしたり、削除したりすることも可能。

セキュリティ機能の強化（4）：暗号化通信

　住所や氏名、クレジット・カード情報などをWebで送受信する際、データが途中で窃取されないように保護するために、SSL（Secure Sockets Layer）などの技術を利用した暗号化が広く用いられている。従来からIEでは、暗号化の方法としてSSLv2、SSLv3、TLSv1を利用可能だった。しかし、このうちSSLv2にはプロトコル上の欠陥があり、脆弱性が指摘されていた。そのためIE7では、デフォルトでSSLv2が無効化され、代わりにSSLv3とTLSv1が有効となった。これにより、暗号化通信の安全性が向上した。

　また、SSLなどで通信を行う際、Webサイトの素性を証明するために証明書が使われる。この証明書の有効性はインターネット上にある「信頼された認証局」が保証するのだが、この認証局を自身で構築するなどして、正規の証明書を装う、いわゆる「オレオレ証明書」が悪用される場合があった。これに対しIE7では、信頼されていない発行元の証明書を利用している場合は次のような警告が表示され、その危険性がユーザーに対して強調されるようになっている。

信頼されていない認証局の証明書に対する警告

信頼されていない認証局の証明書を利用していると、このようにアドレス・バーが赤色表示になり、“Certificate Error”という警告が表示される。

セキュリティ機能の強化（5）：悪意のあるソフトウェアの削除ツール

　マイクロソフトは、2005年1月から、Windows Update（現Microsoft Update。以下両者をまとめてWU／MUと表記する）で「悪意のあるソフトウェアの削除ツール」の無償提供を開始した。このツールは、ウイルスやワームがコンピュータに存在しないかどうかをチェックし、存在した場合はそれらを排除するものだ。チェックできるウイルス／ワームは一部であり、市販のウイルス対策ソフトウェアのように組織的なウイルス対策は不可能だが、重要度の高いものについてはこれで最低限のチェックと対策ができる。このツールは、毎月の修正プログラム公開時に新版がリリースされ、WU／MUに登録される。WU／MUを有効にしていれば、毎月このツールが実行され、悪意のあるソフトウェアがインストールされていないかがチェックされるという具合だ。

　IE7のインストール時には、自動的にこのツールが実行されるようになった。重大なウイルス／ワームに感染したコンピュータでIE7を使い始めないようにする措置のようだ。

セキュリティ機能の強化（6）：Protected Mode

　IE7は、次期Windowsとして開発が進められているWindows Vistaに搭載される“Protected Mode”と呼ばれる新機能に対応している。Windows Vistaでは、IE7はProtected Modeという制限されたモードで動作するため、悪意のあるプログラムが実行された場合でも、許可されていないフォルダにデータが書き込まれたり、重要なファイルが削除されたりすることを防止できるとしている。ただしこれは、Windows Vista特有の機能であり、Windows XPにIE7をインストールしても利用できない。

INDEX
	［製品レビュー ］Internet Explorer 7 Beta 2 Previewを試してみる
	1．タブ対応で洗練されたインターフェイス
	2．セキュリティ機能の強化
	3．RSSリーダーなどの機能追加
	4．CSS2.1や国際化ドメインへの対応など

　

製品レビュー

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）