piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

InternetExplorer9のセキュリティ機能を調べてみた。

海外に遅れること4/26に日本においてもようやくIE9がリリースされました。このIE9では過去のバージョンと比べ多くのセキュリティ機能が追加、強化されています。
今回IE9のリリースにあたり、GIGAZINEやMSのBlogなどで今までの変遷的なまとめが行われています。折角新しいブラウザが出たことですし、インターネットオプションにあるセキュリティ設定を見直すことで、今までどのような変遷が起こってきたのかを垣間見ることが出来るかもしれないということで、少し調べてみました。

初代からIE9に至るまでのインターネットエクスプローラーの歴史−GIGAZINE
Internet Explorer 9日本語版公開。歴代 IE のセキュリティ機能の進化を振り返る−日本のセキュリティチーム
 

IEのセキュリティ機能のおさらい

まずはおさらいというか、自分の中での整理。IEにはいくつかのセキュリティ機能が搭載されています。次に代表的な機能を取り上げてみます。
 

XSSフィルター(IE8、IE9対応)

ユーザーにとって有害になる可能性のあるスクリプトの動作を事前に無効化する機能です。EvernoteXSS騒動でも注目されたIEXSSフィルター機能ですが、一部Webサイトではこの機能による動作不具合を理由に機能の無効化を促す案内を行っているみたいです。・・が、これをそのまま鵜呑みにして無効化するのはやめましょう。いいことありません。
XSS フィルターを制御する−Hebikuzure's Tech Memo
XSSフィルタの誤検出とその対策について−金利0無利息キャッシング – キャッシングできます
 

ActiveXフィルター(IE9対応)

IE9から搭載の新機能です。ただしこの機能はあくまでもフィルターであり、ブラウザ自身が悪意あるものであるのかどうかといった判別は行いません。予め定められた信頼できるサイトでのみActiveXを動かすことを許可するといった機能です。
ActiveX フィルター−Microsoft Windows
Win 7編: IE9のActiveXフィルターの例外情報をレジストリから管理する−マイコミジャーナル
 

SmartScreenフィルター(IE7、IE8、IE9対応)

いわゆるフィッシング対策用の機能。怪しいサイトにアクセスした際に、ユーザーにその旨を真っ赤な画面で通知してくれます。IE7では「フィッシング詐欺検出機能」という名前でしたが、IE8からこの「SmartScreenフィルター」という名称になりました。セキュリティ設定もそのため、名称が変更になっています。
SmartScreenフィルター−Microsoft Windows
  

InPrivateブラウズ(IE8、IE9対応)

後から人に見られたら困るようなことをする時インターネットカフェなど不特定多数の人がその端末を使う場合に利用する機能です。CookieなどのデータをHDDには書き込まずにメモリ上で扱うことで、痕跡を残さないというものですが、InPrivateブラウズモード中にハイバネーションとかを使ってしまうとメモリ上のデータが結局HDDに書き込まれてしまったりするので注意が必要ですね。
InPrivate ブラウズ - Microsoft Windows
Internet Explorer 8のInPrivateブラウズ・モードとは−@IT
 

追跡防止(IE8、IE9対応)

Webビーコンを用いてユーザーの行動を追跡して広告を行う方法を防止する機能です。IE8ではInPrivateフィルターと呼ばれていた機能ですね。IE9ではさらに機能強化が行われ、自動的にこの情報を収集、解析し、ユーザーがブロックするかどうかを設定することが出来ます。
マイクロソフト、「Internet Explorer 9」のRC版をリリース--行動追跡拒否機能を搭載−ZDnetJapan
IE9に行動追跡防止機能、プライバシー保護強化へ−IT Media
IE Blog: Web 追跡防止: 最低基準と技術革新の機会−Hebikuzure's Tech Memo
 

アドレスバーの強化(EV-SSL証明書/ドメイン強調表示)(IE7、IE8、IE9対応)

これらはいずれもユーザーに視覚的な表示能力を強化することで注意を促すという機能です。
ドメイン強調表示はドメインの文字列がボンド体で強調表示されることにより、偽のサイトに気付きやすくなるというものです。(これはIE8から対応)
また、余り知られていないのがこのEV-SSL証明書。信用できる証明書で認証されているサイトは緑色のアドレスバーで表示され、またブラウザ上に証明局が表示されることで、オレオレ証明書な信用できないサイトを判別しやすい機構がアドレスバーに設けられています。
アドレス バーの改善点 - Internet Explorer 8 Beta 1
EV SSL証明書とは - ベリサイン
 

ダウンロードマネージャー(IE9対応)

IE9からダウンロード機能がようやく他のブラウザレベルに使いやすくなったといったところでしょうか。過去のバージョンでは何をいつどこにダウンロードしたのかというのを追うことが出来ず、あまり有用なものではなかったのですが、IE9からはこのダウンロード機能が強化され、何をダウンロードしたのかの一覧が残る(検索したりも出来る)他、SmartScreenフィルターとも連携しレピューテーションをつかってダウンロードしたものが危険性の高いものかどうかを自動的にチェックする機能もあります。
IE9に新セキュリティ技術 DLするファイルを「評判」で判定−IE Media
【IE9】 故意にウイルスをダウンロードしてみる
 

保護モード(IE7、IE8、IE9対応)

IEサンドボックス化し、万一バッファオーバーフローなどの脆弱な個所がIEにあった場合に、そのまま管理者権限を乗っ取られることを防ぐというものです。ただし、この機能はWindows側もサンドボックス化する機構に対応している必要があり、Windows XPでは利用することが出来ません。また、IE9ではイントラネットではこの機能が有効にならないように変更されています。
保護モードの Internet Explorer の理解と機能
 

MIMEスニッフィングの見直し(IE9対応)

過去のIE8まではファイルの拡張子ではなく、ファイルの実際の中身を見て開く設定が有効となっていたため、拡張子がテキスト(.txt)であっても、中身がHTMLであれば、IEはHTMLテキストとして開くといった挙動になっていました。
IE9からはようやくこの挙動が見直され、拡張子がtxtであればテキストファイルとして開くように設定が変更されており、かつセキュリティ設定の項目名が「MIMEスニッフィングを有効にする」といった名称に変更されたこともあり、わかりやすくなっています。(ただし、これが無効化されるのは既定値では信頼できないサイトのみです。)
IE8以下でHTMLを含むtxtファイルを開くとHTMLで表示されるのを防ぐ−Web Paroday
 

IEバージョン別のセキュリティ設定詳細

次の表にIEバージョン別、かつセキュリティレベル別にセキュリティ設定項目のデフォルト設定値の比較表をまとめました。

 
ちなみにゾーン別だけの情報としてMSのサイトでまとめられています。
バージョン別セキュリティ既定値一覧表
 
基本的にその機能を有効とするのか、無効とするのか、確認のダイアログを出すのかといったものに整理されており、旧バージョンで高中低で設定をするようなものも消えています。
この表をパッと見てわかるのは「IE6の項目が少ない」ということですね。それだけIEのバージョンがあがるにつれ、セキュリティ機能の追加・強化が行われていることがわかります。未だに日本でも10%程度はこのIE6を利用し続けている人もいるみたいですが、旧々々世代のブラウザであることを改めて認識頂き、早急にIE8以上へバージョンアップを行うか、IE6はイントラネット上の旧世代でしか動かないWebアプリケーションでのみ使うことにし、ChromeFirefoxなどの他の最新のブラウザでインターネットにアクセスするようにしましょう。

IE9のマイナー変更点

IE9のマイナーな変更点はβ、RC、リリースと3つのタイミングでそれぞれEricLaw's IEInternalsにまとめられています。日本語訳としてはせがわさんが訳されていたものが公開されています。(恐らく最後のものも訳してくれることを期待していたりします。)
IE9 Beta のマイナーな変更点リスト−葉っぱ日記
IE9 RC マイナーな変更点リスト−葉っぱ日記
IE9 Final RTW Minor Changes List−EricLaw's IEInternals