マカフィー株式会社 公式ブログ

McAfee Labs] 2012年7月31日 更新

Windows 8 Metro による新たなセキュリティリスク

 

近々リリース予定のWindows 8では、Microsoft社はついにWindowsをタブレット市場における有力な選択肢の1つとして位置付け、すべてのWindows搭載機器で同じユーザー操作を提供するという考えを明らかにしたようです。近々リリース予定のWindows8のプレリリースによると、Microsoft社が、その野望をほぼ達成していることがわかります。しかし、それによって、ユーザーのセキュリティリスクが高まる可能性も出てきているのです。

このブログでは、マカフィーがセキュリティ専門家やIT管理者に向けてWindows 8のプレスリリースバージョンによる分析に基づき、セキュリティに関する変更と業界標準との比較について情報を提供します。 ただし、新機能の追加とWindowsの全バージョンの問題の解決によって、現在のこの情報は、必ずしもWindows 8の最終バージョンでは当てはまらないかもしれません。

このWindowsの新バージョンは、デスクトップ向けに32ビット版と64ビット版、そしてタブレットなどのARMをベースのデバイス向けがあります。アプリケーションは、Microsoft社のMetroデザイン言語によって開発され、 Windowsストア、およびMicrosoftアカウントが、Microsoft社の統合エコシステムを構成します。この環境は、Windowsがサポートしている幅広いプラットフォームに対応しており、各プラットフォームに特化したコード記述や開発を行わなくても、シームレスなインターフェースとユーザー操作を提供するそうです。

ユーザにはっきりと目に見えるWindwos 8の拡張機能としては、Windows DefenderやSmart Screen、Metroアプリケーションのためのより安全な環境があります。改善は、Windowsのマルウェア対策コンポーネント、宣言型リソースアクセス、Microsoftストアを通じたアプリケーションの審査、そしてアプリケーションへの制限付きリソースアクセスなど、4つの領域に分けることができます。これらの改善によって、Metro環境は大幅に安全になります。しかし同時に、悪質なアプリケーションや、Webと通信したりユーザーのデータを扱うアプリケーションに存在する脆弱性がセキュリティリスクとなり、デスクトップを狙った通常のマルウェアのみならず、悪質な攻撃に対するいくつもの突破口を提供しているのです。

技術的に、Windowsの8は様々な新しいコンポーネントおよびプロセスの変更、特にMetroインターフェースにより、攻撃対象領域は、Windows 7よりも広がっています。ただ本記事で述べたように、この領域を相殺する厳しいチェックや対策も組み込まれています。

Windows 8は何年もかけて改良を重ね、成熟してきたMicrosoft社のテクノロジーを結集しています。Microsoftアカウントは、基本的にWindows Live IDであり、MetroインターフェースはWindows Phone 7とXboxをサポートしています。そして、Microsoft社は、Windows 8 エコシステムを完結するため、Windowsストアによって、Appleストアのようなマーケットを築き上げようとしているのです。

インターフェース

Metroは、タイルのようなデザインのUIで、タッチスクリーンと従来のキーボード/マウスのインターフェースの両方をサポートしています。ほぼ20年続いたWindowsデスクトップとは違うMetroのスタート画面は、ユニークな「動くタイル(Live Tiles)」を表示し、ユーザーがすぐにアプリケ―ションを更新できるよう、常に最新の情報を提供します。

タイルのようなインターフェースを使用し、タッチスクリーンとキーボード&マウスの両方をサポートするWindows Metro

Windows 8に関して、企業環境における重大な変更点の一つは、オフィシャルにはMetroインターフェースを無効にする手段がないという問題があります。また、新しいインターフェースが没入型のユーザー操作に的を絞っている点も、重大な変更点です。これは、タスクバーやアプリケーションメニューといったOSの標準のものが、 もはや表示されなくなるということを意味します。ユーザーがアプリケーションを開くと、画面いっぱいに表示され、これまでよりはるかに広いスペースを取って、その操作に没入できるというわけです。

Metroインターフェースは、マウス、キーボードまたはタッチスクリーンでも使用することができますが、このインターフェースが扱いづらいことは明らかです。最新のWindowsプレビュー版では、このインターフェースのユーザビリティーをマウス/キーボードでより使いやすくするマイナーチェンジがいくつか組み込まれていますが、従来の入力方式より、タッチスクリーンのほうが適していることは明らかです。それにより、このギャップを埋めるデバイス、あるいはこのインターフェースに適したデバイスの新しい市場が誕生する、という可能性が大いに考えられます。

画面全体に表示されたMetroの天気予報アプリケーション

Internet Explorer 10

もう1つの大きな変更は、Metroとデスクトップの両方でInternet Explorer 10が利用可能になったことです。この対応は下位互換性の利点があります。

Metroモードで画面を占拠するInternet Explorer 10

Metroインターフェースでは、IEは没入モードで動作し、フルスクリーンでページが表示されます。URLバーも隠されており、以下のような見た目になります。

Windows 8 Metroモードで起動した場合、アドレスバーが表示されないInternet Explorer 10

これは、通常のデスクトップインターフェースとは大きく異なり、その意味では従来のIEとも、大きく異なっています。

デスクトップモードで起動した場合のInternet Explorer 10。見た目はほぼ従来のWindowsアプリケーションと同じ

この没入型のインターフェースで詐欺被害に遭わないようにするために、ユーザーは必ず、認証情報を入力する前にアドレスバーを表示させなければなりません。次に示す2つの画面は、Metroインターフェースで表示されたフィッシングサイトと、正規のサイトです。

その違いは非常にわかりづらくなっています。 次に、アドレスバーを表示させて両サイトを比較してみると、正規のサイトがどちらかわかると思います。正しいWebサイトにはアドレスバーがグリーンで表示され、SSLで暗号化された安全な接続であることを示す鍵のアイコンがあります。一方、偽サイトはpaypal.comやpaypal.deがホストとなっておらず、PayPalではないサブドメインであることがわかります。

ブラウザのアドレスバーは、何年も前からユーザー操作の基本構成要素であり、Windows 8でも利用できます。しかしMetroでは、アドレスバーは常時見えているわけではないので、混乱を招く可能性があります。マカフィーでは、認証情報を入力するときは、アドレスバーが見えているべきだと考えています。

デスクトップバージョンではプラグインが利用できるものの、MetroインターフェースではIE 10にカスタムプラグインのサポートはありません。Metroでプラグインのサポートを外したのは、パフォーマンス、信頼性、セキュリティの向上を意図してのことです。特別なプラグインが必要な方は、デスクトップバージョンを使用すると、互換性を維持することができます。

MetroモードにおけるIE 10利用に関して、Microsoft社はAdobe Systems社の協力でFlash Playerの限定バージョンを導入しました。Flashの機能の多くを削除し、タッチジェスチャーのサポートを追加したバージョンで、より利用しやすくなります。ただ、これはある意味、巧妙な「釣り」ともいえます。Metroでは、Microsoft社が選んだ特定のサイト群でしかFlashのサポートは有効にならず、全てのサイトでFlashが機能するわけではないようです。たとえば、ゲームサイトminiclip.comが提供するFlashゲームはMetroでも動作しますが、デスクトップモードのIE 10で動作するFlashファイルを、マカフィーが用意したテストサイトの1つにアップロードしたところ、MetroバージョンのIE 10では動作しませんでした。

またIE 10には、HTML5やWebSocket、クロスドメインメッセージング、postMessage、JavaScriptアプリケーションにおけるWeb Workersのサポートなど、数多くの新機能が追加されています。しかし残念なことに、こうしたサポートが新たに攻撃可能な領域を作ってしまう可能性があります。攻撃を開始して広めるためにシステム全体を乗っ取る必要もなく、アクティブなブラウザインスタンスしか必要としないマルウェアもあるでしょう。JavaScriptは、改ざんしやすいことで悪名高く、ブラウザでJavaScriptを実行するのは、デスクトップでダウンロードしたアプリケーションを実行するより、一般に行われていることなので、この場合、マルウェア対策ソリューションを導入してプロアクティブな措置を講じることが、最も効果的な防御となります。

今後、新インターフェース、およびWindows 8の強化点やリスク、安全性確保のアプリケーションなどを検証していきます。

Also Find Us On

マカフィーは、インテルコーポレーション(NASDAQ:INTC)の完全子会社であり、企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評のあるセキュリティソリューションやサービスを提供しています。詳しくは、http://www.mcafee.com/jp/をご覧ください。

 

Copyright © 2003-2014 McAfee, Inc. All Rights Reserved.