1.1 ActiveXとは
ActiveXとは、インターネットを楽しめるようにとマイクロソフトが開発したインターネット関連の技術の総称です。特定のプログラムやシステムの名称ではありません。
OLE技術群という名称を1996年にマイクロソフトが改名し、ActiveXとしました。
様々なActiveXがWindowsの中に使われていますが、Internet Explorerを使っていて目にする機会が多いActiveXはActiveXコントロールです。
ActiveXコントロールは他のソフトウェアから呼び出されて実行されるプログラムです。
FlashなどにもActiveXコントロールが使われています。
1.2 何故危険なのか
ActiveXコントロールには危険性が含まれています。
インターネットを楽しむためのActiveXコントロールですが、悪用される可能性があるからです。
ActiveXコントロールの危険性の具体的な例を挙げます。
シマンテック社などのオンライン・ウィルス・スキャンを行おうとすると、ActiveXコントロールの確認画面が表示されます。
ActiveXコントロールを使ってユーザーのPCにアクセスするからです。
ウィルス・スキャンをするということは、ユーザーのPCのすべてのファイルにアクセスするということです。
つまり、
オンライン・ウィルス・スキャンをするためのActiveXコントロールを許可するということは、PCのすべてのファイルへのアクセス許可を出すということになります。
これがもし、悪意のある第三者が作ったActiveXコントロールだったらどうでしょう。
PCに不正アクセスし、個人情報を持ち出すことが可能になってしまいます。
ユーザー自身がActiveXコントロールを見定めなければなりません。
不正なActiveXコントロールを許可しないようにするには、署名と安全マークの確認をした方が良いでしょう。
署名とはこの場合デジタル署名を指します。
データの作成者がデジタル署名・証明の認証発行機関に依頼をして付けてもらいます。
データにデジタル署名を施すことで作成者を明確にし、改変されていないか確認することができます。
署名されたActiveXコントロールが悪意のあるものに改変された時には、署名は正しく機能せず、改変されたという事実を知らせます。
しかし認証発行機関はActiveXコントロールの内容のチェックまではしませんので、改変されずとも悪意のあるActiveXコントロールという可能性があります。
安全マークとは、マイクロソフトが「スクリプトと初期化の安全性を示すマーク」と言っているものの通称です。
「ディスク入出力を行わず、コンピュータのメモリおよびレジスタに直接アクセスしないコントロール」を安全なActiveXコントロールの定義としています。
レジストリにエントリを書き込むことで安全マークを付けるよう製作者に勧めています。
しかし安全マークはActiveXコントロールの製作者が付ける自己申告のものです。悪意のあるActiveXに安全マークを付けることも可能なのです。
残念ながら、デジタル署名も安全マークも、付いているから100%安全だとは言い切れません。
