Windows 8 Metro による新たなセキュリティリスク

近々リリース予定のWindows 8では、Microsoft社はついにWindowsをタブレット市場における有力な選択肢の1つとして位置付け、すべてのWindows搭載機器で同じユーザー操作を提供するという考えを明らかにしたようです。近々リリース予定のWindows8のプレリリースによると、Microsoft社が、その野望をほぼ達成していることがわかります。しかし、それによって、ユーザーのセキュリティリスクが高まる可能性も出てきているのです。

このブログでは、マカフィーがセキュリティ専門家やIT管理者に向けてWindows 8のプレスリリースバージョンによる分析に基づき、セキュリティに関する変更と業界標準との比較について情報を提供します。 ただし、新機能の追加とWindowsの全バージョンの問題の解決によって、現在のこの情報は、必ずしもWindows 8の最終バージョンでは当てはまらないかもしれません。

このWindowsの新バージョンは、デスクトップ向けに32ビット版と64ビット版、そしてタブレットなどのARMをベースのデバイス向けがあります。アプリケーションは、Microsoft社のMetroデザイン言語によって開発され、 Windowsストア、およびMicrosoftアカウントが、Microsoft社の統合エコシステムを構成します。この環境は、Windowsがサポートしている幅広いプラットフォームに対応しており、各プラットフォームに特化したコード記述や開発を行わなくても、シームレスなインターフェースとユーザー操作を提供するそうです。

ユーザにはっきりと目に見えるWindwos 8の拡張機能としては、Windows DefenderやSmart Screen、Metroアプリケーションのためのより安全な環境があります。改善は、Windowsのマルウェア対策コンポーネント、宣言型リソースアクセス、Microsoftストアを通じたアプリケーションの審査、そしてアプリケーションへの制限付きリソースアクセスなど、4つの領域に分けることができます。これらの改善によって、Metro環境は大幅に安全になります。しかし同時に、悪質なアプリケーションや、Webと通信したりユーザーのデータを扱うアプリケーションに存在する脆弱性がセキュリティリスクとなり、デスクトップを狙った通常のマルウェアのみならず、悪質な攻撃に対するいくつもの突破口を提供しているのです。

技術的に、Windowsの8は様々な新しいコンポーネントおよびプロセスの変更、特にMetroインターフェースにより、攻撃対象領域は、Windows 7よりも広がっています。ただ本記事で述べたように、この領域を相殺する厳しいチェックや対策も組み込まれています。

Windows 8は何年もかけて改良を重ね、成熟してきたMicrosoft社のテクノロジーを結集しています。Microsoftアカウントは、基本的にWindows Live IDであり、MetroインターフェースはWindows Phone 7とXboxをサポートしています。そして、Microsoft社は、Windows 8 エコシステムを完結するため、Windowsストアによって、Appleストアのようなマーケットを築き上げようとしているのです。

インターフェース

Metroは、タイルのようなデザインのUIで、タッチスクリーンと従来のキーボード/マウスのインターフェースの両方をサポートしています。ほぼ20年続いたWindowsデスクトップとは違うMetroのスタート画面は、ユニークな「動くタイル(Live Tiles)」を表示し、ユーザーがすぐにアプリケ―ションを更新できるよう、常に最新の情報を提供します。

タイルのようなインターフェースを使用し、タッチスクリーンとキーボード&マウスの両方をサポートするWindows Metro

Windows 8に関して、企業環境における重大な変更点の一つは、オフィシャルにはMetroインターフェースを無効にする手段がないという問題があります。また、新しいインターフェースが没入型のユーザー操作に的を絞っている点も、重大な変更点です。これは、タスクバーやアプリケーションメニューといったOSの標準のものが、 もはや表示されなくなるということを意味します。ユーザーがアプリケーションを開くと、画面いっぱいに表示され、これまでよりはるかに広いスペースを取って、その操作に没入できるというわけです。

Metroインターフェースは、マウス、キーボードまたはタッチスクリーンでも使用することができますが、このインターフェースが扱いづらいことは明らかです。最新のWindowsプレビュー版では、このインターフェースのユーザビリティーをマウス/キーボードでより使いやすくするマイナーチェンジがいくつか組み込まれていますが、従来の入力方式より、タッチスクリーンのほうが適していることは明らかです。それにより、このギャップを埋めるデバイス、あるいはこのインターフェースに適したデバイスの新しい市場が誕生する、という可能性が大いに考えられます。

画面全体に表示されたMetroの天気予報アプリケーション

Internet Explorer 10

もう1つの大きな変更は、Metroとデスクトップの両方でInternet Explorer 10が利用可能になったことです。この対応は下位互換性の利点があります。

Metroモードで画面を占拠するInternet Explorer 10

Metroインターフェースでは、IEは没入モードで動作し、フルスクリーンでページが表示されます。URLバーも隠されており、以下のような見た目になります。

Windows 8 Metroモードで起動した場合、アドレスバーが表示されないInternet Explorer 10

これは、通常のデスクトップインターフェースとは大きく異なり、その意味では従来のIEとも、大きく異なっています。

デスクトップモードで起動した場合のInternet Explorer 10。見た目はほぼ従来のWindowsアプリケーションと同じ

この没入型のインターフェースで詐欺被害に遭わないようにするために、ユーザーは必ず、認証情報を入力する前にアドレスバーを表示させなければなりません。次に示す2つの画面は、Metroインターフェースで表示されたフィッシングサイトと、正規のサイトです。

その違いは非常にわかりづらくなっています。 次に、アドレスバーを表示させて両サイトを比較してみると、正規のサイトがどちらかわかると思います。正しいWebサイトにはアドレスバーがグリーンで表示され、SSLで暗号化された安全な接続であることを示す鍵のアイコンがあります。一方、偽サイトはpaypal.comやpaypal.deがホストとなっておらず、PayPalではないサブドメインであることがわかります。

ブラウザのアドレスバーは、何年も前からユーザー操作の基本構成要素であり、Windows 8でも利用できます。しかしMetroでは、アドレスバーは常時見えているわけではないので、混乱を招く可能性があります。マカフィーでは、認証情報を入力するときは、アドレスバーが見えているべきだと考えています。

デスクトップバージョンではプラグインが利用できるものの、MetroインターフェースではIE 10にカスタムプラグインのサポートはありません。Metroでプラグインのサポートを外したのは、パフォーマンス、信頼性、セキュリティの向上を意図してのことです。特別なプラグインが必要な方は、デスクトップバージョンを使用すると、互換性を維持することができます。

MetroモードにおけるIE 10利用に関して、Microsoft社はAdobe Systems社の協力でFlash Playerの限定バージョンを導入しました。Flashの機能の多くを削除し、タッチジェスチャーのサポートを追加したバージョンで、より利用しやすくなります。ただ、これはある意味、巧妙な「釣り」ともいえます。Metroでは、Microsoft社が選んだ特定のサイト群でしかFlashのサポートは有効にならず、全てのサイトでFlashが機能するわけではないようです。たとえば、ゲームサイトminiclip.comが提供するFlashゲームはMetroでも動作しますが、デスクトップモードのIE 10で動作するFlashファイルを、マカフィーが用意したテストサイトの1つにアップロードしたところ、MetroバージョンのIE 10では動作しませんでした。

またIE 10には、HTML5やWebSocket、クロスドメインメッセージング、postMessage、JavaScriptアプリケーションにおけるWeb Workersのサポートなど、数多くの新機能が追加されています。しかし残念なことに、こうしたサポートが新たに攻撃可能な領域を作ってしまう可能性があります。攻撃を開始して広めるためにシステム全体を乗っ取る必要もなく、アクティブなブラウザインスタンスしか必要としないマルウェアもあるでしょう。JavaScriptは、改ざんしやすいことで悪名高く、ブラウザでJavaScriptを実行するのは、デスクトップでダウンロードしたアプリケーションを実行するより、一般に行われていることなので、この場合、マルウェア対策ソリューションを導入してプロアクティブな措置を講じることが、最も効果的な防御となります。

今後、新インターフェース、およびWindows 8の強化点やリスク、安全性確保のアプリケーションなどを検証していきます。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速