セキュリティ専門家は、簡単に侵入されるという不名誉な評判を得ていた Microsoft の Edge ブラウザの最近発表された改良点に好意的に反応している。
レドモンドは、Edgeのサンドボックス技術を改良することで、悪意のあるエクスプロイトへの露出を軽減しています。ACG(Arbitrary Code Guard)やCIG(Code Integrity Guard)といった既存の技術に、リモートコード実行を防ぐための機能が追加されました。
ACG 1とCIG 2は、ハッカーが悪意のあるコードをメモリにロードすることを困難にするように設計されています。EdgeはInternet ExplorerのActiveXまたはブラウザヘルパーオブジェクト技術のサポートを省略しているため、常にアプリコンテナサンドボックス内で完全に実行できます。強化された防御機能は、いわゆるドライブバイダウンロード攻撃に対する防御力を強化するように設計されています。
セキュリティ刷新は、ソフトウェアの攻撃対象領域を縮小することに重点を置いています。この目的のため、Microsoft のアプリコンテナは再設計され、サンドボックス内のコード量が削減されました。開発者は、潜在的なハッカーの攻撃をより困難にするために、権限の低いカスタムアプリコンテナも組み込んでいます。
「Microsoft EdgeのRCEとサンドボックスの両方の緩和策に引き続き投資していきます」と、シニアプログラムマネージャーのクリスピン・コーワン氏は述べています。「これらのエクスプロイト緩和策と強化されたサンドボックスを組み合わせることで、攻撃者がMicrosoft Edgeを悪用する手間が大幅に軽減され、攻撃者がそもそも攻撃を試みることを思いとどまらせることができるはずです。」
Microsoft Edge アプリ コンテナー モデル [出典: Microsoft]
これらの変更は、Microsoft Edgeが最近のPwn2Ownイベントで最もハッキングされたブラウザであったことを踏まえると、特に歓迎すべきものです。セキュリティ上の脆弱性は、注目を集めるハッカーイベントという場を超えて、現実世界にも及んでいます。例えば、Google Project Zeroは、このブラウザの以前のバージョンに複数のセキュリティ上の欠陥を発見しており、最近では先月、未修正のMicrosoft EdgeとIEの脆弱性(CVE-2017-0037)が発見されました。
これまであまり評判が良くなかったにもかかわらず、専門家たちはマイクロソフトのブラウザ技術を決して否定しているわけではありません。マイクロソフトのセキュリティロードマップについては、肯定的な意見を持つ専門家もいます。
マルウェア検出会社ラストラインのシニアセキュリティ研究者、マルコ・コバ氏は次のようにコメントしている。「マイクロソフトは間違いなく正しい方向に進んでいます。信頼できないコードが利用できる特権操作を減らし、サンドボックスに閉じ込めてエクスプロイトの成功を困難にすることは、安全なシステムを構築するための2つの最良の方法です。」
「彼らの素晴らしいエンジニアリングの偉業のように思えます。もちろん、これらのメカニズムを実際にどのように実装したかという詳細が謎ですが、近い将来、多くの人が徹底的にテストすることになるでしょう。」
セキュリティコンサルタントのケビン・ボーモント氏もEdgeに楽観的な見方を示しています。「Microsoft Edgeは企業での使用に最適なブラウザで、今後追加されるセキュリティ機能の中には素晴らしいものもある」と、彼はTwitterで述べています。
Microsoft Edge は Windows 10 の Creators Update に含まれています。より広範なオペレーティング システムの更新については、ここで詳しく説明します。®
1 ACGは、コードが動的に生成または変更されないようにするためのものである
2 CIGは、適切に署名された画像のみが読み込まれるように設計されています
