インターネット・エクスプローラ(IE)とアウトルックエクスプレス(OE)の脆弱性は、くめどもつきぬ様相を見せている。 これだけ問題の山積された状況を考えると IE を安全に使いつづけるためには、かなり高度な知識、技術を持ち、さらに最新の情報を収集しつづける根気が不可欠になるのではないだろうか?>> IE では、セキュアなマークを信頼できない ここ数日の間にでてきた脆弱性としては、BUGTRAQ(世界最大級の脆弱性などに関するメーリングリスト) に「SSLで安全なサイトを偽装する攻撃方法」などが投稿された。「SSLで安全なサイトを偽装する攻撃方法」の報告には、利用者は SSL のマークは安全性を示すマークと思っており、それ以上の確認をしようと思わない。そのため、簡単にだますことができるのではないかと述べている。それは全くその通りに違いない。BUGTRAQ IE https certificate attackhttp://msgs.securepoint.com/cgi-bin/get/bugtraq0112/184.htmlPGP Plugin for Outlook can send unencrypted messageshttp://msgs.securepoint.com/cgi-bin/get/bugtraq0112/185.html また、SSl には有効期間というものが存在するが、有効期間が切れていれば、そのマークは信用できない。しかし、日本語の IE では、有効期間中にも関わらず、有効期間が切れているという表示がでる問題があった。普通ならこのような表示がでるサイトを使うのをためらいそうなものだが、マークがあることだけを見て、平気で利用する人々がほとんどであったようだ。セキュリティホールmemoML Re: サイト証明書受付時のブラウザの説明(2001.11.28)http://memo.st.ryukoku.ac.jp/archive/200111.month/2029.htmlWeb サイト証明時の表示の一部が誤って表示されるhttp://www.microsoft.com/japan/support/kb/articles/J068/8/12.asp信頼できないネットの信頼マーク と R-MS サイトの正しい FAQ(2001.12.1)https://www.netsecurity.ne.jp/article/1/3436.html このような問題が次々と出てくるようでは、利用者は自衛策として「IE が安全と表示しても信用すべきではない」という姿勢で望まざるを得ないのではないだろうか?>> IE では、脆弱性続々発見 いまそこにある危機=未確認の脆弱性も大量 筆者は、マイクロソフト社のセキュリティにかけている努力と成果を無視しているわけではない。同社のセキュリティ情報の迅速さには、頭がさがることも多々ある。 とはいうものの、やはり継続的に提供される情報においついてゆくには、相当の根気があることも事実だろう。 また、未確認&対処方法がじゅうぶんに確立していない脆弱性も存在する。「他のサイトを改変して表示できる(決済サービスなどで使われる大変)」「強制的にサウンド再生」「ローカルHDDで特定のファイル有無を確認」などなど・・・DHTML裏テクニックhttp://www2.sala.or.jp/~uuu/dhtml/スラッシュドット JScript でサイト偽装する方法http://slashdot.jp/comments.pl?sid=6324&cid=49373 これらの未確認情報を利用した危険なサイトが存在している可能性は少なくない。つまり、これらの危険性は、利用者にとっては、対処方法の確立されていない「いまそこにある危機」なのである。>> web 見ただけで感染 プレビューしただで感染 防御不能の先制攻撃 IE、OE の脆弱性の怖さは、web を見ただけ、メールをプレビューしただけでウィルスに感染したり、パソコンを起動不能にされたりすることがある。 いままでは「メールの添付ファイルを実行させなければ安心」「スクリプトをオフにしておけば安心」などなど、防御方法がいわれていたが、こうした努力を無効化する脅威が続々と登場している。IE の新しい脅威 スクリプトがオフでも強制的に実行させることができる(2001.12.21)プレビューしただけで感染するセキュリティホールを利用する新種ウイルス「BADTRANS.B」の被害が拡大中(2001.11.27)https://www.netsecurity.ne.jp/article/8/3385.htmlhttps://www.netsecurity.ne.jp/article/1/3617.htmlweb見ただけで被害を受ける「FUCK japanese」関連最新情報(2001.8.23)https://www.netsecurity.ne.jp/article/8/2669.htmlNimdaの脅威の本質 javaスクリプトだけ切っても自衛できない(2001.9.20)https://www.netsecurity.ne.jp/article/1/2849.html さらにいうなら、頼みの綱のアンチウィルスソフトは、新しいウィルスがでてから、対応したパターンファイルが配布されるのである。 つまり、パターンファイルが配布されまでの間は、防ぐ方法は、web もメールも利用しない以外には、存在しない。>> 大手企業サイトも安心できない 常に注意と準備が必要 危険そうなサイト、アダルトサイトなどにいかなければ安心と思っている人はいないだろうか? せめて、大手企業サイトなら変な攻撃コードなど埋め込まれていなくて安心ならば救われるのだが、大手企業サイト自身がウィルスの感染源となる事件もいくつも起きている。大手企業サイトといっても安心できない。msn、オリコをはじめとする多数のwebが改竄、感染の踏み台にされる(2001.9.19)https://www.netsecurity.ne.jp/article/9/2842.html「プライスロト FUCK japanese」事件にみる事後対処の問題点(2001.8.23)https://www.netsecurity.ne.jp/article/1/2672.html>> これらの問題を抱えてまで使いつづける能力と気力は普通の利用者にはないと思うのだが・・・[ Prisoner Langley ]
