マイクロソフト、IE 8のセキュリティ新機能を一部披露
来月リリース予定のベータ2に搭載
米国Microsoftは7月2日、次期Webブラウザ「Internet Explorer(IE)8」に搭載するセキュリティ新機能を明らかにした。他社のWebブラウザで提供されているようなマルウェア対策ツールや、ほとんどのクロスサイト・スクリプティング攻撃をブロックするフィルタなどが搭載されるという。
MicrosoftでWindowsクライアント製品管理担当ディレクターを務めるオースチン・ウィルソン(Austin Wilson)氏は、「IE 8では新たに2つのセキュリティ・ツールが搭載される」と説明する。
1つはMicrosoftが「SmartScreen Filter」と呼ぶマルウェア・ブロック・ツールである。
これは悪意あるコードをばらまくことが判明している、もしくはその疑いがあるサイトにユーザーがアクセスしようとした際、ユーザーに警告を促したうえで、そのサイトからのダウンロードをブロックするというものだ。なお、ライバルの「Firefox 3.0」や「Opera 9.5」にも同様のツールが搭載されている。
米国MozillaのFirefoxは、1日に数回ブラックリストを取り込み、それをローカルに格納してURLと照合するという方法を採用している。一方、IE 8はユーザーがWebページにアクセスしようとするたびにリモート・サーバに「ping」を送ることで、そのサイトに潜在的な危険性がないかどうかを動的に判断する。
Wilson氏によると、Microsoftはフィッシング/マルウェア・ホスティング・サイトのブラックリストを作るにあたり、複数のサードパーティ・ソースに加えて、同社のスパイウェア対策ツール「Windows Defender」によって収集したデータも使用するという。ただし、同氏はサードパーティの具体的な協力については明言を避けた。
「データ・フィードを入手し、ブラックリストは1日数回更新する。また、IE 8はURL評価サービスのサーバに照会をかけ、フィッシングやマルウェアのサイトだと判明した場合、そのページにはアクセスせずに警告を表示する仕組みだ。このプロセスがIE 8のパフォーマンスに大きな悪影響を及ぼすことはない」(Wilson氏)
もう1つはクロスサイト・スクリプティング(XSS)攻撃をブロックするフィルタ「XSS Filter」だ。Wilson氏は、「現状でも、URLをチェックして正規サイトかどうかを確認し、信頼できるサイトだけにアクセスしているユーザーはいるだろう。しかし、Webサーバ側の脆弱性による攻撃には対処できない」と指摘する。実際、XSS攻撃はID窃盗に用いられ、最近その被害は増加の一途をたどっている。
「IE 8は、XSS攻撃を発見すると、そのスクリプトがサーバに反映されるのを防ぎ、クライアント側への攻撃を阻止する」(Wilson氏)
また、Microsoftのセキュリティ・ソフトウェア・エンジニア、デビッド・ロス(David Ross)氏によると、IE 8のXSS Filterはデフォルトで有効になっているという。
米国の調査会社Gartnerのリサーチ・フェロー兼アナリスト、ジョン・ペスカトーレ(John Pescatore)氏は、「これらのセキュリティ・ツールがブラウザにビルトインされるのはありがたい。しかも2つの新機能は、Web上のセキュリティにそれぞれ別々のアプローチで臨んでいる。ただし、SmartScreen Filterはあくまで善後策にすぎない。ユーザーを根本的に保護するには、危険なサイトに迷い込ませないことだ」と、Microsoftの取り組みを評価するとともに、今後の課題も示した。
(Gregg Keizer/Computerworld米国版)
