UPDATE Microsoftは、同社の新しいウェブブラウザ「Edge」を、ユーザーが安心して使えるものにするべく取り組んでいる。
インターネットは、ユーザーの個人情報にとって脅威となる悪意ある電子メールやウェブサイト、ハッカー、フィッシングなどによって、危険な場所に感じられることも多い。なかでも「Internet Explorer」は、数々のセキュリティホールにより、ハッカーに対して脆弱になっているとの指摘をたびたび受けてきた。ゆえに、Microsoftは同社の新ブラウザEdgeではセキュリティにこれまで以上に重点を置こうとしており、米国時間5月11日付のMicrosoft Edge Teamによるブログ投稿で、その詳細を明らかにした。
では、いったいどのようにして、Edgeはより安全でセキュアなブラウザになろうとしているのだろうか? Microsoft Edge Teamは、次のような手法を示している。
サイバー犯罪者たちがパスワードを盗むために用いる方法の1つとして、ユーザーを偽のウェブサイトへと誘導する、という手口がある。これは、ユーザーが普段利用している、パスワードで保護された正規サイトのように見えるが、実際にはユーザーのログイン情報を入手するために作られた悪意のあるサイトだ。こうしたフィッシング詐欺に対抗するため、Microsoft Edgeでは、生のパスワードを入力する必要をなくし、代わりに「Microsoft Passport」テクノロジをシングルサインインサービスとして採用してユーザー認証を行うという。
Edgeは、「Microsoft EdgeHTML」と呼ばれる、新しいレンダリングエンジンを使用する。この新エンジンはよりモダンなウェブ標準に基づいており、ここにはウェブ開発者がサイバー攻撃からのサイト防御を強化するために利用できるものも含まれている。またEdgeは、「Internet Explorer 8」で導入された、Microsoftの「SmartScreen」機能も活用する。SmartScreenは、ウェブサイトやソフトウェアダウンロードの「評判」をチェックし、正規サイトであることの確認を試みるものだ。
Internet Explorerはこれまで、「ActiveX」や「VBScript」のような、特定の拡張機能の脆弱性を利用した攻撃に弱かった。Edgeでは、そうした拡張機能のサポートをやめることで、こうした脆弱性を排除する。これらに代えて、MicrosoftはEdgeでHTML5を用い、HTMLとJavaScriptの利点を活かした拡張機能ベースのモデルに取り組んでいる。
MicrosoftがInternet Explorerを「Windows」の一部として組み込んだため、このブラウザは同OSのセキュリティホールの危険にもさらされる状態になっていた。だが、Microsoft Edgeはスタンドアロンアプリであり、これまでよりも容易にアップデートが可能になる。また、Edgeは「サンドボックス」モードで実行される。つまり、Edgeは隔離され、保護された専用のスペースで実行されるということだ。これによって、たとえば、マルウェアが同じコンピュータ上で実行されているほかのプログラムを感染させるのは従来よりも難しくなる。また、Edgeでは個々のウェブページが、それぞれ専用のサンドボックス、つまり「アプリコンテナ」の中で開かれる。
「Microsoft Edgeは、我々のブラウザ拡張機能モデルをリブートし、単にデフォルトとするだけでなく、常時、同ブラウザのコンテンツプロセスをアプリコンテナの中で実行できるようにしている」と、Edgeチームは述べている。「したがって、Microsoft Edgeが訪問するすべてのインターネットページはアプリコンテナの中でレンダリングされる。これはWindowsで最も新しくセキュアなクライアントサイドのアプリサンドボックスだ」
最後に、セキュリティホールの発見には外部の手助けが必要であることは、Microsoftも認識している。このため同社は、「Windows 10 Technical Preview Browser Bug Bounty」プログラムを実施する予定だ。このプログラムでは、新ブラウザのEdgeについて特定の種類のバグを見つけた人は、それをMicrosoftに報告すると、その見返りとして賞金を得ることができる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。