IEのセキュリティパッチで、一部のアプリが無効に

Robert Lemos(CNET News.com)2004年02月05日 18時39分
  • このエントリーをはてなブックマークに追加

 ネット詐欺の防止を狙ったInternet Explorer(IE)のパッチが、セキュリティを最優先しないような一部のアプリケーションを無効にしてしまうと、一部のウェブ開発者が不平をもらしている。

 Microsoftは先週、IEブラウザを修正するパッチをリリースし、これを機にリンクに機密情報を含めるという、セキュリティ上問題のあるやり方をやめると発表していた。ところが、米国時間2日にリリースされたアップデートは、一部のウェブプログラマの怒りを買うことになった。これまで、URLに含まれる認証情報を通してアクセスを認められていたサイトに、ログインできなくなったユーザーからの苦情が殺到したからだ。

 「Microsoftには、この問題に対処するべき正当な理由があるかもしれないが、そのやり方、つまり業界標準となっているものを一律に台無しにしてしまうのは問題だ」と、ウェブでデータ処理サービスを提供するソフトウェア技術者のJames Roskoは述べた。同氏と同僚のプログラマは、3日に夜を徹して、自社のウェブサイトへのログイン要求を処理するプログラムを修正するはめになったという。

 この出来事は、Microsoftが、一部のユーザーが利用している機能よりも、セキュリティに重点を置いていることを示す、最初の例になるかもしれない。Microsoftは、2年ほど前に「Trustworthy Computing Initiative」を開始した際、セキュリティを最優先すると約束した。しかし、一部の批評家は、この取り組みがあまり実を結んでいないと主張している。

 この問題は、URL欄に入力した認証情報を使って、ユーザーにログインを認めるようなサイトで発生する。この場合のウェブアドレスは、http://username:password@www.somecompany.com/program.ext のようになる。認証プログラムがユーザー名とパスワードを確認し、合っていればリンクは企業のウェブサイトへのアクセスを許可するという仕組みだ。

 ユーザー名とパスワードがウェブアドレスの一部になっていて、しかも暗号化されていないため、このような認証情報をURLに組み込むことはセキュリティ上問題があると、ActivMedia Roboticsの最高技術責任者(CTO)で、「HTML & XHTML: The Definitive Guide」の共著者であるWilliam Kennedyは指摘した。

 「そもそも、このような機能を盛り込むこと自体がばかげている。サイトへのログインを管理する方法はほかにいくらでもある」(Kennedy)

 しかし、Microsoftがログイン機能を使用禁止にした狙いは、別のところにあった。同社は、ネット詐欺師が一見合法的なウェブサイトにリンクするように見せかけて、実は詐欺サイトへ誘導するのを阻止したかった。たとえば、一見するとユーザーをeBayへ案内するように見えるURLは、実際には、http://www.ebay.com@fraudsite.com のような詐欺サイトにリンクしている可能性がある。

 このような偽サイトは通常、ユーザー名とパスワードを聞き出し、それらを利用して詐欺をはたらく。大手銀行や、PayPalのような金融ウェブサイトは、「phishing」(フィッシング)と呼ばれるこの手の詐欺の格好の標的となっている。米国民の銀行口座を保証する連邦預金保険公社(FDIC)は、先頃このような詐欺に対して警戒を呼びかけていた。

 「ほとんどの人は、この機能を知らなかったと思う」というのは、プライバシーおよびセキュリティを専門とするRichard Smithだ。「もちろん、フィッシングを行う詐欺師の連中は例外だ」。

 プログラマのRoskoは、ユーザー名とパスワードをURLに含めるのは、あまり安全なやり方ではないと認めたが、しかし同氏は、なかにはセキュリティを必要としないアプリケーションもあることを強調した。また、IEのアップデート後にプログラムの変更を行うのは難しい場合もあると述べた。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加