Microsoftが最近リリースしたWindows XP Service Pack 2(SP2)はセキュリティ専門家の間では評判が良い。しかしウェブ経由でソフトウェアを配信している企業のなかには、SP2の登場を恐れと疑いのまなざしで眺めているところもあるようだ。
ソフトウェア開発者らは長年にわたり、「ActiveX」というMicrosoftの強力なプロプライエタリAPI(アプリケーションプログラミングインターフェース)を通じて、Internet Explorer(IE)ユーザーにアプリケーションを提供してきた。ActiveXは、ウェブページ内で「プラグイン」と呼ばれる外部アプリケーションを起動する技術だ。
しかしこのツールが、ブラウザ上できちんとしたソフトウェアを動かせる一方、悪質なソフトウェアを起動してしまうおそれもある。その結果、ActiveXはさまざまなセキュリティの侵害に悪用されてきており、ごく最近では広告業者がアドウェアやスパイウェアを密かにインストールするのにActiveXが利用されていた。
Microsoftは数回の延期の末、問題の多いSP2を8月にリリースした。セキュリティに重点が置かれたWindowsのこのアップデート版には、これまでより手の込んだアラートシステムを加えることでActiveXに制限が加えており、ウェブサイトがActiveXコントロールを実行したり、ポップアップウィンドウを開いたり、あるいは別のコードを実行しようとすると、こうしたアラートが発せられるようになっている。
これまで、IEではプラグインのインストール時にセキュリティ画面が開き、ユーザーが「はい」か「いいえ」をクリックして確認する簡単なやり方をとっていた。ところが、SP2ではActiveXコントロールはデフォルトで使用不可になっており、未知のソフトウェアはPCに危害をもたらす可能性があるという警告が表示される。また、インストールを許可する方法がやや分かりにくくなっている。
こうした変更に、ActiveXを利用しているソフトウェアメーカーの一部は警戒感を抱いており、Microsoftがセキュリティという緊急要件を戦略目的に利用しているのではないかとの疑いが持ち上がってきている。
「われわれは今、SP2が完全に浸透するのを固唾を飲んで見守っているところだ」と言うのは、Microsoftに在籍した1992年から1997年の間、同社のDirectXグラフィックソフトウェアの開発に携わり、現在は「WildTangent」3Dゲームサイトを運営しているAlex St. Johnだ。「ユーザーはSP2の警告に驚いて混乱し、単純に全てをキャンセルしてしまう可能性が高い。そして大半の人々は、最初の時点で何が起きたのか理解できていないと思われる.....これでは、ブラウザ上でのコンテンツ再生機能に関連する全てのビジネスモデルが崩れてしまう」(St. John)
別のメーカーもこれに同意見で、SP2によって自社の3Dプラグイン製品をウェブベースで配信できなくなると述べている。
Media Machines(本社:サンフランシスコ)の創業者で、VRML(Virtual Reality Modeling Language)とX3D(Extensible 3D)ウェブグラフィックス仕様の共同作成者でもあるTony Parisiは、次のように述べている。「SP2はエンドユーザーを混乱させる。それに、ウェブとIEによって実現した、比較的安価で素晴らしい製品配信方法を利用している独立系ソフトウェア開発会社(ISV)をも妨害することになるだろう。セキュリティ問題が重要なのは理解できるが、これではISVの妨げとなってしまう」
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス