« JScriptやVBScriptのスクリプトエンコードをデコードする。 | トップページ | MHTMLファイルは危険です。 »

2006年9月26日 (火)

「イントラネットゾーン」の設定は危険です。

最近は、「マイコンピュータゾーン」のロックダウンで、ローカルに置かれたHTMLファイルが安全に開けるようになりました。

と思ったら、そうでもありません。

「Mark of the Web」(MOTW)と言う、訳の分からない機能によって、意図せず/意思に反して、ローカルに置かれたHTMLファイルが「インターネットゾーン」や「イントラネットゾーン」で動く危険があります。

「Mark of the Web」は、IE4以降でサポートされています。

もし「イントラネットゾーン」のサイトにURLを登録していたり、「イントラネットゾーン」の設定を初期設定のままにしていたら、とっても危険です。

例えば、http://www.microsoft.com/などを「信頼済みサイト」や「イントラネットゾーン」に指定していると、 悪意ある者がそういう、よく指定されそうなURLを、
<!-- saved from url=(0025)http://www.microsoft.com/ -->
のように埋め込んだWebページをインターネットに置いておき、一般ユーザが、IE以外のブラウザやダウンローダで、ローカルにそのまま取り込み、これを、一般ユーザが、関連付けなどで、IEで開くと、 「インターネットゾーン」や「イントラネットゾーン」で動くので、 「マイコンピュータゾーン」のロックダウンが効きません。

「インターネットゾーン」ならリスクは少ないですが、「イントラネットゾーン」の場合は危険です。

メールなどで受け取ったHTMLファイルでも同様です。ローカルで開く前に中身を確認しましょう。

「イントラネットゾーン」のサイト指定で
「ほかのゾーンにないローカル(イントラネット)のサイトをすべて含める」
をチェックしていると、「イントラネットゾーン」の汎用指定
<!-- saved from url=(0017)http://localhost/ -->
や(nnnn)を故意に短く指定した怪しい指定でも「イントラネットゾーン」で動くので、ここのチェックは必ず外しておきましょう。

「Mark of the Web」機能は無効にすることが出来ないようなので、「イントラネットゾーン」のサイト登録は使わないことを強く推奨します。

また「イントラネットゾーン」のセキュリティレベルは高に設定しておきましょう。
「イントラネットゾーン」は、使わないだけでは対策は不十分で、使えないようにしておく必要があります。

※Vista/IEの保護モード:有効で、危険が軽減されるケースがありますが、そうでないケースもあるので、やはり危険です。

« JScriptやVBScriptのスクリプトエンコードをデコードする。 | トップページ | MHTMLファイルは危険です。 »