【Internet Explorer 8の深層に迫る！】インターネットをより安全に使いこなす

XSSもクリックジャッキングもブロックできる

　Webサイトの脆弱性を悪用した攻撃としてよく知られるクロスサイトスクリプティング（XSS）攻撃では、たとえばオンラインバンキングのアカウントが乗っ取られて口座から預金が引き出されるといった危険性がある。

　IE8では、XSSフィルターが実装されており、そうした攻撃を防ぐことができる。Webサイトへアクセスした場合に、その通信を監視し、XSSの動作を検出、攻撃を行うスクリプトを無効化してくれる。攻撃コードだけをブロックし、そのサイトにはそのままアクセスできる。

インターネットオプションのセキュリティ設定から、XSSフィルターの設定が行えるSmaetScreen

　XSSフィルターは、「インターネットオプション」→「セキュリティ」→「レベルのカスタマイズ」から設定できるが、基本的に無効にする必要はあまりないだろう。スクリプトを無効にすることで、正常なWebサイトの動作が妨げられる可能性もあるが、マイクロソフトは、そうした問題が起きないように極力配慮しているということなので、あえて無効化する必要はなさそうだ。

　新しい攻撃手法として話題となった「クリックジャッキング」への対策を追加しているのも特徴だ。これは、正常なWebサイトのクリック部分の上に、ユーザーからは見えない別のクリック領域を追加し、目的とは異なるクリックを行わせるという攻撃だ。

　こうした攻撃にはIFRAMEやFRAME要素が使われるが、Webサイト側が特定のHTTP応答ヘッダーを追加することで、こうしたフレーム要素を使った表示が行えなくなる。Webサイト側の対応が必要なため、すべてのサイトで効果が得られるわけではないが、他のブラウザも含めて対応が進めば、より効果的な対策となる。サイトの利用者側には追加の作業が全く必要のない点もメリットだろう。

プライバシーも保護する

　プライバシー保護も、セキュリティの重要な要素だ。このためIE8では、新たに「InPrivateブラウズ」機能を搭載している。Webサイトの閲覧をより快適にするために、IE8には過去に閲覧したサイトの履歴、インターネット一時ファイル、フォーム入力、cookieといったデータを保存している。

　たとえばネットカフェのような共用PCを使っている場合、こうしたデータが残されていると、個人情報の漏えいなどの問題が発生しかねない。

　そういった共用PCを使う場合などは、「セキュリティ」→「InPrivateブラウズ」またはCtrl＋Shift＋Pで新規ウィンドウを立ち上げ、そのウィンドウを使ってサイトを利用する。

　InPrivateブラウズ中は、セキュリティの問題につながるようなデータが保存されない、またはウィンドウ終了時に削除されるため、サイトの利用が終わったらウィンドウを閉じるだけでいい。

　InPrivateブラウズを開始すること、最後にウィンドウを閉じることだけ注意していればいいわけで、難しい作業が必要ないのも便利だ。なお、誤解のないように説明しておくと、InPrivateブラウズは、「データをPC内に残さない」ための機能で、アクセスしているWebサイトへ送信される情報をブロックするためのものではないので、Webサイトの利用は通常通り行える。

　cookieやWebビーコンのように、Webサイト側が収集する情報をブロックするには「InPrivateフィルター」を使う。これは、広告やWeb測定のように、複数のサイトで同じURLのコンテンツが使われている場合に、ブロックするか許可するかを決めるというもの。「セーフティ」→「InPrivateフィルター」またはCtrl＋Shift＋Fでフィルターの有効/無効を切り替えられる。「InPrivateフィルター設定」からは、特定のURLのみブロックする、許可するといった設定が変更できる。

一括してすべてをブロックしたり、特定のものだけブロックするということが可能 InPrivateフィルターの設定はワンクリック

より安全に使うために

　「データ実行防止」機能がデフォルトで有効になっているのも重要なポイント。IEのアドオンが、本来はコードの実行が行えないメモリ領域を使ってコード実行して行う攻撃をブロックできる。また、標準ユーザーのままActiveXコントロールをインストールできるようになり、管理者権限で悪意のあるActiveXがインストールされなくなっているのもセキュリティ向上に役立つ。

　こうしたIE8の機能によって、よりインターネットを安全に使いこなすことができるようになる。IE8は、速い、便利といった特徴だけではない。インターネットをより安心して使えるブラウザ。それがIE8なのだ。