ネットプライバシー CASE 3:
アタックアプレットの脅威JavaやActiveXはWeb機能を拡張するインターネットの新技術で、Web上でオンラインゲーム、作画ツールを動作させるなど、Web本来の基本機能では実現できないような機能をホームページに付加するもので、幅広く使われている。このようなシカケのあるホームページにアクセスすると、Javaアプレット、ActiveXコントロールと呼ばれるプログラムモジュールが自動的にユーザーのハードディスクに送り込まれ、ユーザーのコンピュータ上で実行するという仕組みとなっている。
しかし、最近ではわざわざユーザーのコンピュータでハードディスクの内容を読みとって送信したり、ファイルを破壊するといった悪意のあるモジュールの存在が確認されている。このようなアプレットやActiveXコントロールが仕込まれたサイトにアクセスすると、ハードディスクの内容が全て筒抜けになり、ユーザーの知らぬ間に個人情報やメールアドレス情報が送信される危険もある。
Javaについては、本来ユーザーのコンピュータを直接制御できないようにセキュリティ対策が講じられたシステムだが、Internet ExploreのJavaを動作させるシステムにセキュリティホールが見つかり、このセキュリティを突破して直接コンピュータを制御できることが明らかとなっている。また、ActiveXコントロールに至ってはシステム上のセキュリティ対策はなく、悪意のあるモジュールをダウンロードしてしまったら防止する手だてがない。この問題はWindows、Macともに発生する可能性がある。
この問題は古くから技術者やハッカーによって指摘されていた。97年2月には、ドイツのハッカーグループがActiveXを使いIntuitが開発する「Quicken」という市販の財務管理ソフトを操作して送金処理ができることを証明し、業界に大きな衝撃を与えたものだった。このようなセキュリティ上の問題は、Javaについては問題が発覚するたびにセキュリティホールをふさぐ修正プログラムを配布、あるいはWebブラウザをバージョンアップするという対策が施されているが、ActiveXについては元々セキュリティ機能が欠如しているため対策を講じられないのだ。
さて、このJavaアプレット、ActiveXコントロールがダウンロードされているかどうかを確認するには、Internet Explore 5の場合「ツール」→「インターネットオプション」を選び、インターネット一時ファイルの「設定」をクリックする。設定ウィンドウが開くのでここで「オブジェクトの表示」をクリックすると既にダウンロード済みのActiveXコントロールを一覧表示できる。なお、ダウンロード済みのJavaアプレットを表示させる場合は、設定ウィンドウから「ファイルの表示」を選ぶ。これらを消去する場合はウィンドウからオブジェクトをごみ箱に移動させればよい。[対策] JavaやActiveXを無効に設定する
悪意のあるJava(アタックアプレット)やActiveXコントロールの被害を未然に防ぎたいのであれば、これらを無効とするように設定しておくのがベストだ。この設定は次の通りだ。
1.Internet Explore 5.x Windows版
「ツール」→「インターネットオプション」の「セキュリティ」タブを選び、インターネットゾーンを選択する。セキュリティのレベル欄の「レベルのカスタマイズ」をクリックしてセキュリティの設定ウィンドウを表示させ、「ActiveXコントロールとプラグイン」の欄にある項目を全て「無効にする」を選ぶ。また、「Microsoft VM」にある「Javaの許可」を無効にしておく。
2.Netscape Communicator 4.x Windows版
「設定」→「初期設定」を選び、左ウィンドウから「詳細」を選ぶ。詳細メニューが表示されるので「Javaを有効にする」のチェックを外しておく。なお、Netscape Communicator 4.xは基本的にActiveXに対応していないので、この設定項目はない。
3.Netscape 6 Windows版
「編集」→「設定」を選び、左ウィンドウから「詳細」を選ぶ。詳細メニューが表示されるので「Javaを有効にする」のチェックを外しておく。Netscape 6も同様にActiveXに非対応だ。
4.Internet Explore 5 マック版
「編集」→「初期設定」を選び「Webブラウザ」項目の中の「Java」を選ぶ。ここから「Javaを有効にする」のチェックを外しておく。なお、MacはActiveXに対応していないため、これを設定するメニューはない。
これらの設定で、JavaやActiveXを受け付けなくなる。ただし、画面表示のためにこれらを使っているごく一部のホームページでは、正しくイメージが表示されない場合もある。