IEでWindowsショートカットを起動できるのはセキュリティ脆弱性でない--MSが強調

　ユーザーが「Internet Explorer（IE）」にウェブアドレスをタイプした際に実行ファイルを起動できるWindowsショートカットはセキュリティ脆弱性ではないと、Microsoftが主張している。

　Windows XPおよびIEを利用している場合、例えば「www.microsoft.com」などのウェブアドレスをブラウザに入力すると、同ウェブサイトを開く代わりに、コンピュータのデスクトップ上にある実行ファイルを起動させることができる。

　このショートカットを実行するには、次のような手順を踏めばよい。

• デスクトップから右クリックして、「新規作成」、「ショートカット」を選択する
• 同ショートカットの場所を「c:\windows\system32\calc.exe」などの実行可能なファイルに設定する
• 同ショートカットの名前を「www.microsoft.com」とする
• IEを立ち上げ、アドレスバーに「www.microsoft.com」と入力する

　ショートカットが削除されていたり、IEのアドレスバーに入力したアドレスの「www」の前に「http://」が追加されたりした場合は、IEは本来のウェブサイトを表示する。

　豪Microsoftの最高セキュリティアドバイザーであるPeter Watson氏は現地時間6月4日、ZDNet Australiaに対して、これはセキュリティ上の脆弱性ではなく、正規のアプリケーションが利用する機能の一種だとするコメントを発表した。

　「セキュリティ問題と正式な機能の違いを明確にしなければならない。セキュリティホールとは、攻撃者に通常許してはならない行動を許すきっかけを作るものを指すが、今回のケースはこれには当てはまらない。ユーザーが適切な方法でコンピュータにインストールしたソフトウェアには、IEが備えているまさにこうしたタイプの機能を必要とするものがある」（Watson氏）

　「IEを用いてアプリケーション接続プロセスの一部を自動化させる必要があったり、自動化したいと思ったりする組織や個人ユーザーは少なくない。IEは一貫性のあるシームレスなユーザーエクスペリエンスを実現するブラウザで、これをユーザーアクセスの利便性を高める目的で利用できるというのは、われわれの大きなアドバンテージだと考えている」（Watson氏）

　しかし一部のセキュリティアナリストは、こうした特殊な機能の必要性は薄く、悪質なソフトウェアの作者に悪用されるおそれもあると指摘している。

　シドニーに拠点を置くアナリスト企業HydrasightのディレクターであるMichael Warrilow氏は、Windows XP SP2（Service Pack 2）を利用してtこれを試してみたところ、IEでは同機能が動作したが、「Firefox」では機能しないことを確かめられたと、ZDNet Australiaに語った。

　「Microsoft自身が有用と自負する機能は折に触れて登場するが、どれも結局はセキュリティ上の脆弱性となり、悪質な目的のために利用されてしまう。今回のケースも例外ではないだろう」（Warrilow氏）

　Frost and Sullivan AustraliaのセキュリティアナリストJames Turner氏も、Warrilow氏の考えに賛同している。「マルウェア製作者は、必ずこの機能を悪用してくるだろう。特に、多少のソーシャルエンジニアリングを用いた攻撃方法を考案するのではないかと考えている」（Turner氏）