拡張保護モード
Internet Explorer は、リリースのたびに新しいセキュリティ機能が追加され、インターネットをより安全に利用できるように改良されてきました。Internet Explorer 10 には拡張保護モードという新機能が搭載され、ブラウザーまたはいずれかのアドオンの脆弱性が攻撃者に悪用された場合でも、データを安全に保護できるように考慮されています。
ただし、1 つの方法だけでユーザーのセキュリティを確保することはできません。そこで私たちは、次のような複数の戦略を取り入れています。
ソーシャル エンジニアリング型の攻撃からの保護
世の中には、信頼されている Web サイトを偽装して、個人情報を盗もうとしたり、他人のコンピューターを自由に操ろうとしたりするさまざまな攻撃者がいます。SmartScreen フィルター (英語) は、マルウェア攻撃とフィッシングに対抗するための最も効果的な保護機能 (英語) です。Windows 8 では、Windows シェルにこの保護機能が追加されたため、マルウェアがどのようにダウンロードされた場合でもユーザーを安全に保護できます。
Web サイトの脆弱性を悪用する攻撃からの保護
"善良" な Web サイトでも、セキュリティ上の脆弱性が存在すると、悪意のある Web サイトにデータを盗まれたり、悪意のある Web サイトが自分になりすましてなんらかの操作を実行するのを許してしまったりする可能性があります。このような危険からユーザーを保護する手段として、私たちは、特定の種類の攻撃を自動的に防ぐ XSS フィルター (英語) を用意しています。Web サイト側では、IE10 で新たにサポートされる HTML5 サンドボックスなどの宣言セキュリティ (英語) 機能を使うことで、サイトのセキュリティをより簡単に確保できます。
ブラウザーやオペレーティング システムを悪用する攻撃からの保護
自動更新を利用すると、最新の更新プログラムを確実にインストールすることができます。これは、修正済みのセキュリティの問題からユーザーを保護するために役立ちます。IE9 では、ある種の脆弱性が悪用される可能性を低減するメモリ保護 (英語) 機能が追加されました。この機能は IE10 でさらに強化されています。さらに IE10 には、拡張保護モードと呼ばれる新しい防御層も追加されています。
拡張保護モード
Windows Vista の IE7 で追加された保護モード (英語) は、悪意のあるコードが実行されてしまった場合でも、攻撃者によるソフトウェアのインストールやシステム設定の変更を防ぐための多層防御 (英語) 機能です。これは追加の防御層であり、ブラウザーでは通常使う必要のないシステムの部分をロック ダウンして保護するものです。たとえば、ブラウザーでは通常、システム設定を変更したり、ユーザーの "ドキュメント" フォルダーに書き込んだりする必要はありません。保護モードは、最小権限の原則 (英語) に基づいて設計されています。つまり、Internet Explorer に許される動作を減らせば、悪意のあるコードが実行できる処理も制限されます。
"拡張" 保護モードでは、より多くの動作に制限を適用することで、このコンセプトをさらに追求しています。拡張保護モードについて、安全性の確保に役立つ新しい動作の一部を以下にご紹介します。
64 ビット プロセス
ここ数年の間に販売された PC のほとんどは 64 ビット CPU を搭載しており、その多くには 64 ビット版の Windows がインストールされています。"64 ビット" とは、一般に、コンピューター上のプログラムが使用できるメモリの量を増やす手段の 1 つとして捉えることができます。64 ビット プロセッサでは、32 ビットのメモリ アドレスではなく 64 ビットのメモリ アドレスが使われるため、十分なメモリさえあれば、プログラムはより多くのメモリを "アドレス指定"、つまり利用することができます。
32 ビットの数値は大きく、40 億を少し超える値になります。64 ビット アドレスはそれよりもさらにずっと大きく、端数を別としておよそ 1,800 京 (18,446,744,073,709,551,616) になります。64 ビット値によって、アドレス指定できるメモリが増えるだけでなく、ASLR (Address Space Layout Randomization (英語)) などの既存のメモリ保護機能の効果も大きく向上します。攻撃者が悪意のあるコードを予測可能な位置に植え付ける手段としては Heap Spray (英語) 攻撃がありますが、64 ビットのアドレス空間を "埋め尽くす" ことは現実的でないため、この攻撃が成功する可能性は大幅に低下します。相当範囲のアドレス空間に攻撃が及ぶよりも先に、メモリとディスク領域の方が不足するでしょう。
個人情報の保護
なんらかのプログラムを実行すると、コンピューター上でユーザーがアクセスできるあらゆる情報に、そのプログラムもアクセスできるようになります。ユーザーの個人用ドキュメントもその 1 つです。拡張保護モードでは、ユーザー自身が許可を与えない限り、Internet Explorer からユーザーの個人情報が保存されている場所にアクセスすることはできなくなります。これにより、悪意のあるコードが許可なく個人情報にアクセスするのを防ぐことができます。
たとえば、Web ベースの電子メールについて考えてみましょう。ユーザーのドキュメント フォルダーから電子メールにファイルを添付する場合、Internet Explorer には、そのファイルにアクセスして電子メール プロバイダーにアップロードするためのアクセス許可が必要となります。拡張保護モードでは、ファイルをアップロードするダイアログでユーザーが実際に [Open] (開く) をクリックした場合にのみ、"ブローカー プロセス" によって Internet Explorer にファイルへの一時的なアクセス権が与えられます。
このとき、追加のメッセージが表示されることはありません。ファイルを開くように選択した後は、ブローカーが自動的に処理を行います。これはちょうど、いつでも金庫全体にアクセスできるようにするのではなく、必要時にのみ貸金庫を 1 つ Internet Explorer に提供するようなものです。
企業の資産の保護
ほとんどの場合、企業のネットワーク、つまり "イントラネット" には、攻撃者から保護する必要のある貴重な情報が含まれています。拡張保護モードでは、攻撃者による企業ネットワーク リソースへのアクセスを制限するために、3 とおりの対策を講じています。第 1 に、信頼できないインターネット ページはタブ プロセスに読み込まれますが、そのインターネット タブ プロセスからユーザーのドメイン資格情報にアクセスすることはできません。第 2 に、インターネット タブ プロセスがローカル Web サーバーとして動作することはできません。このため、インターネット サイトを偽装することはいっそう困難になります。第 3 に、インターネット タブからイントラネット サーバーに接続することはできません。
既定の設定と互換性
Metro スタイル Internet Explorer は、常に拡張保護モードで動作します。ユーザーが何かを構成する必要はなく、そのまま使えば有効になっています。Metro スタイル Internet Explorer ではプラグイン フリーのブラウジング (英語) が行われるため、互換性に関しては、このセキュリティ機能の影響は最小限に抑えられます。
Adobe Flash や一部のツール バーなど、多くのアドオンはまだ拡張保護モードと互換性がありません。現時点では、Adobe Flash がなければ正しく動作しない Web サイトもあれば、ツール バーが提供する追加機能を活用しているユーザーもいます。Windows 8 Beta では、デスクトップで [Internet Options] (インターネット オプション) の [Advanced] (詳細設定) を開くことで拡張保護モードを有効にできます。
拡張保護モードを有効にすると、互換性のないアドオンは自動的に無効になります。Flash などのアドオンがないと正しく動作しないサイトに行き当たった場合は、その特定の Web サイトに対してのみ拡張保護モードを無効にできます。
これにより、インターネット上の他のサイトでは拡張保護モードを有効にしたままで、アドオンが必要なサイトも使い続けることができます。ただしこの方法は、該当するサイトを信頼できる場合にしか適用しないでください。
もちろん、アドオンを使わないブラウジングをご希望の場合は、いつでも ActiveX フィルター (英語) を有効にできます。そうすれば、このメッセージは表示されなくなります。
まとめ
Windowos チームでは、多層防御の領域に絶え間ない投資を続けています。多層防御は、実社会に広く適用される原則でもあります。たとえば、貸金庫には鍵が付いていますが、それに加えて銀行の奥の安全な部屋に保管され、施錠され、高度なセキュリティ システムで警備されています。拡張保護モードは、悪意のある攻撃者からユーザーのデータを守るための防御層を一段追加するものです。
- Internet Explorer シニア プログラム マネージャー Andy Zeigler