考えなしにIEを使うのはそろそろやめよう

このままではIE以外が市場から消える，選択肢がなくなるのはユーザーの不利益

山下眞一郎

2002.09.04

　相変わらずInternet Explorer（IE）がシェアを延ばしている。ある調査会社によると，ワールドワイドで96％に達しているという。好んでIEを使っている場合には何も言うことはない。しかし，Windowsに標準搭載されているということだけで使い続けている場合には，他のブラウザへの乗り換えや併用を考えてみてはいかがだろうか。このままではIE以外のブラウザが市場から消え去り，IE以外の選択肢がなくなってしまう。

IEのシェアは96％，Netscapeはわずか3.4％

　市場調査会社である米WebSideStoryの報告書によると，2002年8月26日現在，IEの世界市場でのシェアは96％に達し，減少傾向にあるNetscapeのシェアは3.4％であるという（関連記事）。もちろんこれをそのまま信用することはできないが，傾向としてはそれほど間違ってはいないだろう。Netscapeユーザーの筆者としては，Netscapeの今後が心配である。

　しかしそれ以上に心配なのが，IE以外のブラウザが市場から消えてしまうことである。このままIEがシェアを拡大し続ければ，他のブラウザは商売にならず，淘汰（とうた）されてしまうことだろう。それは，すべてのユーザーにとって好ましいことではない。「Windowsに最初から搭載されているから」との理由だけで使っているユーザーは，少し考えてもらいたい。

　IE以外に選択肢がなくなることは，セキュリティの観点から危険である。IEに深刻なセキュリティ・ホールが見つかって，その対応策がすぐに公開されなかった場合，ユーザーには「ブラウザを使わない」という逃げ道しかなくなる。

　もちろんNetscapeやOpera，Mozillaといった，IE以外のブラウザにもセキュリティ・ホールが見つかっている。しかし，見つかったセキュリティ・ホールの数はIEにおよばない。

　しかもIEには，パッチが公開されていないセキュリティ・ホールが複数存在する。パッチが公開されていないセキュリティ・ホールに関する情報を独自にまとめて公開している米Pivx SolutionsのWebページ「Unpatched IE security holes」によれば，最新の累積パッチ「MS02-047」を適用しても，まだ18件のセキュリティ・ホールが残っているという（8月31日現在）。

　このような状況で，IE以外のブラウザがなくなってしまうことの危険性を考えていただきたい。

新機能が追加されたNetscape

　IE以外の選択肢として考えられるのは，NetscapeやOpera，Moziilaなどである。これらはそれぞれ新版が公開され，まだまだ元気である。考えなしにIEを使っているユーザーは，ぜひ一度試していただきたい。

　米Netscape Communicationsは8月29日，Netscape 7.0の正式版をリリースした。Netscape 7.0はWebブラウザだけではなく，メール・ソフトやメッセンジャー・ソフトなどを含むスイート製品である。5月22日に公開されたプレビュー版（PR1）同様，英語版と同時に日本版もリリースされた。同社サイトから無償でダウンロードできる。

　プレビュー版を紹介した以前のコラムでも書いたように，Netscape 7では，ブラウザ・エンジン「Gecko」のチューニングにより，性能の向上と安定性の強化が図られている。併せて，いくつかの新機能も追加された。

　新機能の目玉は，「Tabbed Browsing」と呼ばれるもので，Netscapeを“タブ・ブラウザ”化する機能である。Webページにタブを付けることで，単一のブラウザ・ウインドウ内に複数のページを表示できるようになる。タブをクリックすれば，現在表示しているページを切り替えられる。

　加えて，複数のWebページを一つのグループとしてブックマークに登録できるようになった。そのグループを指定すれば，登録されている複数のページがタブを付けられた状態で同時に開かれる。

　フリーのタブ・ブラウザは，Netscape 7や後述するOperaに限らず，複数存在する。しかしそれらは，IEのコンポーネントを使用している。セキュリティに関するカスタマイズ機能を用意するタブ・ブラウザもあるが，基本的にはIEのセキュリティ・ホールを引き継いでしまうようだ。

　以前からNetscapeユーザーであった筆者だが，性能の向上と安定性の強化，および今回の“タブ・ブラウザ化”で，ますます手放せなくなった。正式版になって，Webブラウザの右上部に表示される「N」のマークが円形になり，アニメーションが凝った表示に変更されたことも“クール”だ（もっとも，これは好みの問題だろう）。

　好みの問題があるので異論もあるだろうが，筆者自身は，インターネット・サイトを閲覧するためのブラウザとして，Netscape 7をお勧めしたい。ただし，Java機能を無効にすることを忘れないでほしい。

バグが修正されたOpera

　一方，従来から“タブ・ブラウザ”化を実現しているOperaでは，バグを修正した「Opera 6.05 for Windows日本語版」が8月21日にリリースされた。開発はノルウェーOpera Software ASAだが，Windows対応の日本語版に関しては，日本語版販売元のトランスウエアからダウンロードできる。

　ダウンロードできるのは，広告バナーが表示される「アドスポンサー・バージョン」で，無償で使用できる。トランスウエアのWebページでライセンス・コードを購入すれば，この広告バナーを非表示にできる。また，メールによるサポートを受けられるようになる。

　新版で修正されたのは，主にブックマークやマルチバイト圏のエンコーディングに関するいくつかのバグである。また，Operaで使用しているSSLのライブラリ「OpenSSL」に見つかったセキュリティ・ホールも修正された。修正点などについては，同社のサイトで公開している。このように，変更履歴をきちんと公開していることは評価できる。

IEではセキュリティに気をつける

　筆者は「IEの使用を止めよう」と言っているのではない。「考えなしに使うのは止めよう」と言いたいのだ。考えた上でIEを使用する分には何の問題もない。また，現状では好まなくてもIEを使わなくてはならない場合も多い。例えば，Microsoft Officeのデータ連携を利用するイントラネットのサイトや，マイクロソフトのサイトをはじめとする，IE以外では正しく表示できないWebサイトを閲覧する場合には，IEを使用することになるだろう。最新のパッチを容易に適用できる「Windows Update」を利用する場合も，IEの使用が不可欠になる。

　IEを使う際には，このコラムでも口がすっぱくなるほど言っているように，セキュリティには十分注意しなければならない。具体的には，最新パッチの適用と，以前のコラムで紹介した「IEを使い続けるための“お勧め”設定」が必須である。

　ただし，ここまで機能を制限すると，閲覧できないサイトが多くなるので，自分が信頼できるWebサイトについては「信頼済みサイト・ゾーン」に登録する必要があるだろう。しかし，安易に信頼済みサイト・ゾーンに加えてはならない。そのWebサイト自身に悪意がなくても，最近指摘が相次いでいる「クロスサイト・スクリプティング」のぜい弱性があった場合，信頼済みサイト・ゾーンで許している動作を，攻撃者から自由に実行される恐れがあるからだ。

　繰り返しになるが，考えなしにIEを使うのはそろそろやめよう。複数のWebブラウザから，ユーザーが自由に選択できる現状は“幸せな”状況である。IEから別のブラウザに乗り換えることができなくても，「イントラネットやWindows UpdateはIEで，インターネット・サイトはNetscapeで」といった具合に，使い分けることも考えられる。せっかく選択肢があるのだから，ユーザーがよりセキュアに，より便利になるように活用しよう。それが，選択肢を維持することにもつながる。

Windows OSにデジタル証明書を削除されるホール

　Windows関連のセキュリティ・トピックス（2002年8月31日時点分）を，各プロダクトごとに整理して解説する。「マイクロソフトセキュリティ情報一覧」で先週公開された新規のセキュリティ・ホール情報およびパッチは1件だった。

Certificate Enrollment Control の問題により，デジタル証明書が削除される (Q323172) (MS02-048)

　Windows 98／98 Second Edition／Me／NT 4.0／2000／XP において，ユーザーのデジタル証明書が削除されるセキュリティ・ホールが見つかった。原因は，Web でデジタル証明書の登録をするために使用するActiveX コントロール「Certificate Enrollment Control」の不具合である。

　同コントロールを外部からある方法を使って呼び出すと，ユーザーのシステムにある証明書を削除できてしまう。具体的には，「信頼されるルート証明書」，「EFS 暗号化証明書」，「電子メール署名証明書」などを削除される恐れがある。

　対策はパッチを適用すること。最大深刻度は「高」なので速やかに適用しよう。Windows NT 4.0 用の場合，Service Pack（SP） 6a を適用しているシステムに，Windows NT 4.0 Terminal Server Edition 用の場合には SP 6 を適用しているシステムに，パッチを適用できる。Windows 2000 用では SP1／SP2／SP3のいずれかを適用していることが，パッチの適用条件である。Windows 98／98 SE／Me／XP 用のパッチには，適用条件はない。

　今回のセキュリティ・ホールを悪用する攻撃のシナリオとしては，以下の2パターンが考えられる。（1）セキュリティ・ホールを悪用するWebページを用意し，ユーザーを誘導する。（2）セキュリティ・ホールを悪用するWebページをHTML形式のメールとして，ユーザーへ送信する。

　（1）については，攻撃者のWebページが該当するセキュリティ・ゾーンに対して，ActiveX コントロールを無効にしている場合には影響を受けない。そのようなページが信頼済みサイト・ゾーンに登録されていることはまずないので，インターネット・ゾーンとイントラネット・ゾーンで「ActiveX コントロールとプラグイン」の項をすべて無効にしておけば，影響を回避できる。このことは，以前のコラムで紹介した「お勧め設定」に含まれる内容である。

　（2）の攻撃については，メール・ソフトにおいて，HTMLメールを「制限付きサイトゾーン」で処理する設定にしていれば影響を受けない。Outlook Express 6 および Outlook 2002 ではデフォルトでこの設定である。Outlook 98 および 2000では，デフォルトはインターネット・ゾーンなので設定を変更する必要がある。ただし，「Outlook 電子メールセキュリティアップデート」を適用していれば，自動的に設定が変更されているので，ユーザーが変更する必要はない。

マイクロソフトセキュリティ情報一覧

『Windows 98／98 Second Edition／Millennium／NT 4.0／2000／XP』
◆Certificate Enrollment Control の問題により，デジタル証明書が削除される (Q323172) (MS02-048)
　（2002年 8月23日：日本語情報および日本語版パッチ公開，最大深刻度 : 高）

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部　プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）