 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > Security > やさしいセキュリティ > スクリプトとInternet Explorerの設定 | |||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > Security > やさしいセキュリティ > スクリプトとInternet Explorerの設定 | |||||
スクリプトとは簡単な操作を定義するためのプログラム言語の一種で、InternetではJavaScript(ジャバ・スクリプト)やVBScript(ブィビースクリプト)がよく使われます。ここではスクリプトの使い方ではなく、スクリプトを使った危険な操作を防止する方法について説明します。
スクリプトは危険な操作もできますが、本来はインターネットをより便利に使うために考え出されたもので、このページでもJavaScriptを使った表示があります。ではスクリプトがなぜ危険だと言われるかというと
Windowsではスクリプトを使って何でもできるように設計されている
つまり最初は「文字を表示する」、「他のドキュメントを表示する」といった基本的な動作しかできなかったスクリプトに「WordやExcelなどのプログラムを実行してドキュメントを表示する」や「システムの情報を変更する」といった拡張機能を組み込んで何でもできるようにしてしまったのが、スクリプトは危険だと言われるようになった原因です。
スクリプトを拡張したMicrosoftの本来の目的はシステム管理を自動で行うためでした。例えば
仕事でPCを使用しているとバックアップを自動化したり、決まった時間にプログラムを動かして処理を実行したいと思うときがあります。そんなときにスクリプトを使うと決められた時間に所定の処理を行えるのでたいへん便利になります。
また従来のスクリプトでは実現できなかった高度な処理を可能とするためにWindows Scripting Host(WSH)というスクリプト実行のためのサーバ機能が提供されました。WSHはシステム管理のための便利な機能を満載しているため、従来はプログラムを作らないと実現できなかったようなことも、WSHを使ってスクリプトだけで実現できるようになっています。
Internetではスクリプトの多くは動的な表示(動的にhtmlを作成)を行うために使用されます。下にある時計表示やYahooを新しいウィンドウで開くボタンのように固定された文章を表示するだけでなく、サイトを訪れた人の環境に合わせて表示内容を変更したり、動きのある絵を表示するために使用されます。
このようにスクリプトは一般的に害のない利用が主ですが、一部の悪意のあるサイトではスクリプトが持つ機能を悪用してウィルスを感染させたり、Windowsの設定を書き換えるなど危害を加えるために利用されます。
このようにスクリプトが危険であると考える理由は2つあります。
インターネットのページを開いたりメールを見ただけでウィルスに感染するケースは、このスクリプトを利用したものが多くあります。またブラウザ・クラッシュと呼ばれる悪意のあるサイトを訪れるとウィンドウが無数に開いてシステムのメモリーを消費して、Windowsを停止させるといったことにもスクリプトは使われます。
しかしスクリプトを使ってスクリプトからシステムスクリプトを使った動的な表示は現在のインターネットには欠かせないものになっています。スクリプトを全て無効にすると多くのサイトで「表示がおかしい」または「一部が表示されない」という現象が出てきます。
このためスクリプトを全て規制するのではなく、危険な部分だけを規制することが大切です。
危険なスクリプトからPCを保護するために最初に行うのは「Windows Update」です。スクリプトによって引き起こされるWindowsの弱点やIEの弱点を解消することがもっとも大切です。
Windows Updateは「Windows Updateについて」を参照してください
Windows Scrpting Host(WSH)が危険なシステムの変更やActiveX実行への橋渡しをする機能であるのなら、WSHを無効(削除)するのがスクリプトの危険な部分を規制するための最初の一歩になります。
ただし社内のPCのWSHを無効にすると管理者がシステム管理のためにスクリプトを使っている場合に問題が発生します。システム管理のためのスクリプトがまったく機能しなくなるからです。
一般的な個人ユーザの場合はスクリプトを使うケースはほとんど無いのでWSHの無効化で問題が出ることはないでしょう。
・WSHとVBScriptの関連付けを削除する
VBScriptとWSHを関連付ける情報を削除します。
「エクスプローラ」→「ツール」→「フォルダオプション」で「ファイルの種類」を表示して、その中にある「VBS」を選んで「削除」をクリックします。
これでVBScriptファイルを実行することができなくなります。
・WSHを削除する
もっと強引な方法はWSHを削除してしまう方法です。
Windowsのシステムフォルダ(Windows98やMeではWindows\System、Windows2000,XPではSystem32)に「wscript.exe」があれば削除します。念のために削除前にバックアップを取っておいたほうがいいでしょう。
スクリプトの実行許可は「IEの安全な設定(ActiveX)」と同様に「スタート」→「コントロールパネル」→「インターネット オプション」で「インターネットゾーン」の設定を行います。 各ゾーンの意味や「信頼済みサイト」・「制限付きサイト」の登録方法は「IEの安全な設定(ActiveX)」を参照してください。
ほとんどのスクリプトに関する設定は「無効にする」を選択します。
しかしスクリプトを無効にすると企業や大手サイトでもページが正しく表示されなくなります。
インターネット検索で「アクティブ スクリプト 有効」と検索してください。多くの企業サイトや個人サイトが「スクリプトを有効にしてご覧ください」と注意書きしていることがわかります。
よく使う企業サイトや個人サイトを「信頼済みサイト」に登録するか、「アクティブ
スクリプト」を「ダイアログを表示する」か「有効にする」に設定して、怪しいサイトには近寄らないことを心がけてください。
スクリプトをまったく使わないサイトは少なくなってきました。現状(これから)はスクリプトを規制するのではなく、怪しいスクリプトだけを制限するということが必要になってきています。
「アクティブ スクリプト」を「ダイアログを表示する」に設定しているとほとんどのサイトで「スクリプトを許可するか?」の表示が頻繁に出てきて辟易することになります。
Internet Explorer(IE)を使うのであれば
ということを守ってください。IEもWindows XP(SP2)ではスクリプトに大幅な制限が加えられています。しかしIE以外のFirefoxやOperaといったブラウザを使用するのがもっとも簡単にスクリプトやActiveXの呪縛から逃れるすべだと思います。