ユーザーが「Internet Explorer(IE)」にウェブアドレスをタイプした際に実行ファイルを起動できるWindowsショートカットはセキュリティ脆弱性ではないと、Microsoftが主張している。
Windows XPおよびIEを利用している場合、例えば「www.microsoft.com」などのウェブアドレスをブラウザに入力すると、同ウェブサイトを開く代わりに、コンピュータのデスクトップ上にある実行ファイルを起動させることができる。
このショートカットを実行するには、次のような手順を踏めばよい。
ショートカットが削除されていたり、IEのアドレスバーに入力したアドレスの「www」の前に「http://」が追加されたりした場合は、IEは本来のウェブサイトを表示する。
豪Microsoftの最高セキュリティアドバイザーであるPeter Watson氏は現地時間6月4日、ZDNet Australiaに対して、これはセキュリティ上の脆弱性ではなく、正規のアプリケーションが利用する機能の一種だとするコメントを発表した。
「セキュリティ問題と正式な機能の違いを明確にしなければならない。セキュリティホールとは、攻撃者に通常許してはならない行動を許すきっかけを作るものを指すが、今回のケースはこれには当てはまらない。ユーザーが適切な方法でコンピュータにインストールしたソフトウェアには、IEが備えているまさにこうしたタイプの機能を必要とするものがある」(Watson氏)
「IEを用いてアプリケーション接続プロセスの一部を自動化させる必要があったり、自動化したいと思ったりする組織や個人ユーザーは少なくない。IEは一貫性のあるシームレスなユーザーエクスペリエンスを実現するブラウザで、これをユーザーアクセスの利便性を高める目的で利用できるというのは、われわれの大きなアドバンテージだと考えている」(Watson氏)
しかし一部のセキュリティアナリストは、こうした特殊な機能の必要性は薄く、悪質なソフトウェアの作者に悪用されるおそれもあると指摘している。
シドニーに拠点を置くアナリスト企業HydrasightのディレクターであるMichael Warrilow氏は、Windows XP SP2(Service Pack 2)を利用してtこれを試してみたところ、IEでは同機能が動作したが、「Firefox」では機能しないことを確かめられたと、ZDNet Australiaに語った。
「Microsoft自身が有用と自負する機能は折に触れて登場するが、どれも結局はセキュリティ上の脆弱性となり、悪質な目的のために利用されてしまう。今回のケースも例外ではないだろう」(Warrilow氏)
Frost and Sullivan AustraliaのセキュリティアナリストJames Turner氏も、Warrilow氏の考えに賛同している。「マルウェア製作者は、必ずこの機能を悪用してくるだろう。特に、多少のソーシャルエンジニアリングを用いた攻撃方法を考案するのではないかと考えている」(Turner氏)
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」