Hebikuzure's Tech Memo

2011年3月20日

IE Blog: Internet Explorer 9 セキュリティー Part 3: いつも表示するサイトでのブラウズのセキュリティー強化

Filed under: IE Blog — hebikuzure @ 12:51 PM

Internet Explorer 9 Security Part 3: Browse More Securely with Pinned Sites
http://blogs.msdn.com/b/ie/archive/2011/03/11/internet-explorer-9-security-part-3-browse-more-securely-with-pinned-sites.aspx


「Internet Explorer 9 Security」のパート 3 です。この後も IE9 リリース関連で公開された IE Bolg の記事の私訳を引き続き公開予定です。

以下の文章は IE Blog の 3/11 の記事 Internet Explorer 9 Security Part 3: Browse More Securely with Pinned Sites を hebikuzure が私的に試訳したものです。翻訳については Microsoft Corporation および日本マイクロソフト株式会社とは無関係に hebikuzure が公開情報に基づき独自に行ったものであり、この文書の内容についての文責は公開者である hebikuzure にあります。翻訳の内容および技術的内容については正確を期すよう十分な注意を払っておりますが、誤りや不正確な部分が含まれている可能性がありますので、本文書を利用される際には原文も併せてご確認ください。


Internet Explorer 9 セキュリティー Part 3: いつも表示するサイトでのブラウズのセキュリティー強化

2011年3月11日 午前9時49分

IE9 ベータ版で導入されたいつも表示するサイトの機能は、お気に入りのサイトを Windows 7 のユーザー エクスペリエンスに統合する優れた方法です。それだけでなく、オンライン バンキングのようなセキュアなアプリケーションについていつも表示するサイトを作成して利用する事に、5 つの大きなセキュリティー上の利点があります。

第一に、信頼しているサイトをタスクバーにいつも表示して、安全な利用のためにいつも表示されているアイコンを利用するように習慣づければ、電子メール内のリンクをクリックする事を避けられ、偽のサイトに誘導しようとするフィッシング攻撃の可能性を減少させる事ができます。この “安全な起動” の動作は不正なサイトに移動してしまうアドレスバーでの入力間違い (typo) を減少させる効果もあります。

第二に、いつも表示するサイトはデスクトップのブラウザー時独立した、独自のブラウザー セッションで実行されます。これは、いつも表示するサイトのブラウザー インスタンスでセットされたセッション Cookie が、通常の IE ブラウザーのウィンドウ内で実行されているタブからは潜在的に不正利用されない事を意味します。

第三に、いつも表示するサイトはアドオン ツールバーやブラウザー ヘルパー オブジェクト (BHO) なしに実行されます。これによりブラウザーへの攻撃対象領域が減少します。実行されているコードが減少すれば、悪意のある、あるいは感染を狙うサイトにとって攻撃の標的が少なくなります。

第四に、HTTPS サイトをタスクバーにいつも表示するようにすると、セキュアでない HTTP から HTTPS へのリダイレクトを避ける事ができます。例えば、bank.example.com とアドレス バーに入力したとしましょう。最初にリクエストはセキュアでない HTTP プロトコルを使って http://bank.example.com に向けてネットワークへ送信されます。通常の場合、このサイトは即時に https://bank.example.com サイトへのリダイレクトを返信してきます。しかしながら、もし HTTP プロトコルをセキュアでないネットワーク (例えば近所のコーヒー ショップ) で利用すると、経路上の攻撃者がセキュアでないリクエストを横取りし、本当のバンキング サイトではなくフィッシング サイトへ誘導する事ができます。

アドレスバーの URL および HTTP の鍵のアイコンの証明書情報の慎重な確認だけが、このようなマン イン ザ ミドル (中間者) 攻撃の検知を可能にします。けれども https://bank.example.com をタスクバーにいつも表示するようにして、いつも表示したバンキング アプリケーションを起動すれば、最初のリクエストから既に HTTPS プロトコルが利用され、マン イン ザ ミドル (中間者) 攻撃によるリクエストの横取りと悪意のあるサイトへのリダイレクトを防止する事ができます。

第五に、HTTPS サイトをタスクバーにいつも表示するようにすれば、HTTPS プロトコルを標的にしたマン イン ザ ミドル (中間者) 攻撃に対してもより良い保護が得られます。具体的には、もしブラウザーが Web サイトにコンタクトした際に提示されるセキュリティー証明書に問題があれば、接続は安全かつ即時に切断されます。

例えば、攻撃者が攻撃ツールを使い偽のセキュリティー証明書を用いて、バンキング サイトを表示しようとしたあなたのブラウザーを騙そうとした場合には以下のスクリーンショットのような画面が表示されます:

ご覧のように、“クリックして無視” したり個人情報のセキュリティーが侵害されたりするような、安全でない選択肢はありません。

もちろん、いつも表示するサイトも通常の Internet Explorer 9 ブラウザーにある数多くのセキュリティー テクノロジーや機能の恩恵を受けています。 Extended Validation 証明書 (EV 証明書) が有効なサイトを訪問すればアドレスバーが緑色で表示されますし、SmartScreen フィルター は悪意があると知られているサイトへの移動やダウンロードをブロックします。

簡単で安全なブラウジング エクスペリエンスのために、重要なサイトはすぐにいつも表示するようにしましょう。ありがとうございました。

—Eric Lawrence, 主席上級プログラム マネージャー, Internet Explorer

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

WordPress.com Blog.

%d人のブロガーが「いいね」をつけました。