セキュリティ対策の要点解説
第 20 回 Windows Vista のセキュリティ機能 ~ Internet Explorerの保護モード ~
公開日: 2007年8月22日
.gif)
マイクロソフト株式会社 セキュリティ レスポンス チーム 小野寺 匠 著
前回は、安全なブラウザの利用ということで、証明書に関する Internet Explorer の改善について触れました。今回は、ブラウザの利用中に、マルウェア (ウイルス、ワーム等) がパソコンに侵入するのを防ぐ、保護モードについて触れます。
Internet Explorer 7 (IE7) では、マルウェアがブラウザを通じてパソコンに侵入する事を防止するための保護モードを備えています。この保護モードは、Windows Vista の UAC 等に依存しているため、Windows XP 用の IE7 には無い Windows Vista のみの機能となります。Windows Vista が、管理者でログオンしていても、通常はユーザー権限でアプリケーションが動作する事は、UAC の回で触れましたが、IE7 は、通常のユーザー権限よりも更に低い、非常に制限された権限で動作します。この制限された権限で IE7 が動作するという事の利点を、幾つかのマルウェア侵入のシナリオ別に見ていきます。
悪意のある Active X をインストールした場合
IE7 では、Active Xをインストールする場合には、必ずユーザーの許諾が必要ですし、管理者権限が UAC を通じて要求されるため、不用意に許可をしなければ、悪意のある Active X がシステムにインストールされる事は考えにくくなっています。
しかし、信頼できる Active X だと思い、悪意のある Active X をインストールした場合でも、被害を食い止める事ができます。Active X が、パソコン全体に影響する HKLM ハイブ (レジストリ) にアクセスした場合、ユーザーのレジストリである HKCR ハイブにリダイレクトされ、HKLM ハイブを保護します。その他、他のプロセスへの通信は、基本的に禁止され、ファイルの書き出しについても、インターネット一時ファイル (TIF) フォルダ以下にリダイレクトされ、重要なファイルが改変される事を防いでいます。
しかしこれでは、イントラネット サイト向けの Active X の動作に支障をきたす可能性があります。本当に信頼できる Active X については、管理者が特別に通常の権限や、管理者権限で動作する事を許可する事も可能です。
脆弱性が悪用された場合
IE7 に何らかの脆弱性が発見されたと仮定します。その場合、ページを開くだけ、または、特定の操作により悪意のあるコードが実行される可能性があります。しかし、IE7 自体が、制限された権限で動作しているため、悪意のあるコードも、制限された権限で動作します。そのため、管理者権限を必要とするような重要な操作を行うことができず、パソコン全体に影響を与えるような事態を回避する事がでます。何らかのコードが実行された場合でも、継続的に動作するために必要な設定をシステムに追加する事ができないため、再起動することで、悪意のあるコードが結果的に IE7 上から削除される事となります。
悪意のあるファイルをダウンロードして実行した場合
ファイルを、ユーザーの操作によりダウンロードした後に、ユーザー自らの判断で、ファイルを実行した場合は、保護モードによる保護は行われません。ダウンロードしたファイルの実行は、幾つかの警告がでるものの、実行する権限自体は、通常のユーザー権限で実行され、自動的に制限されたユーザー権限で動作する事はありません。
ユーザーは、実行可能なファイルをダウンロードする場合は、十分にアプリケーションの提供元を十分に確認し、信頼できる場合のみに行われるべきです。
保護モードが、効果的な場合もあれば、非効果的な場合があります。保護モードの効果を最大限に生かすためにも、ユーザー自身も「このファイルは大丈夫かな?」というちょっとした警戒心を持つことと、ウイルス対策ソフト、およびスパイウェア対策ソフトを併用する事で、安全な PC 環境が実現されます。
.jpg)
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。
購読無料
.gif)
セキュリティ ニュースレターでは、セキュリティに関する様々な情報を毎月お届けしています。 セキュリティ ニュースレターを購読する。
バックナンバー