JavaScript/プラグインを無効にする
攻撃に利用される脆弱性の多くはJavaScriptの脆弱性か関連する脆弱性です。JavaScriptを無効にするだけでもかなり安全性が向上します。しかし、完全にJavaScriptを無効にしてしまうと正しくページが表示できなかったり、利用できない機能が増えてしまいます。Firefoxの場合、NoScript拡張の利用をお勧めします。実行を許可されたサイトのみJavaScriptを実行できるように設定できます。
Internet Explorerの場合、JavaScriptの有効・無効を簡単に切り替えるブラグインは知りません。中にはInternet Explorerでないと利用できないサイトもあります。Windowsを利用する際にはNoScript拡張をインストールしたFirefoxを利用し、Internet Explorerが必要なサイトはIE Tab拡張でIEにレンダリングエンジンを切り替えて参照するようにしています。
IEのJavaScript(ActiveScript)を無効にする方法もありますが、使いやすいとは言えません。
# セキュリティレベルの調整と信頼済みサイトを設定する機能を利用すれば
# Firefox+NoScriptと似たような操作を実現できます。
JavaScript/プラグインを無効にすると多数の脆弱性や攻撃を防ぐ事が可能です。例えば、現時点で最新版のFirefox 2.0.0.11にはローカルファイルの内容を読み取れる脆弱性がありますが、JavaScriptが無効であれば攻撃できません。
Flash/Adobe Reader/QuickTime/RealPlayerの脆弱性や仕様を利用した多数の攻撃方法がありますがブラウザから利用できなければ攻撃されなくなります。例えば、UPnPルータの攻撃にはFlashを利用すると簡単に攻撃できます。(Flash以外の方法もあるのでUPnP機能は無効にした方がよい)
ブラウザにインストールする拡張機能(プラグイン)は最小限にする
Flash Player, Adobe Reader, Quick Time等、非常に多くのブラウザにインストールされていると思われるブラウザプラグインにも致命的なセキュリティ上の問題がいくつも発見されています。プラグインは非常に危険なので不必要なプラグインがインストールされていないか注意が必要です。IEの場合、アプリケーションをインストールするとユーザが意識していないくてもプラグインやプロトコルハンドラがインストールされてしまう場合があります。あまり一般的に利用されていないプラグインの脆弱性が攻撃に利用されるケースも増えてきているので注意が必要です。
Firefoxの場合、NoScript拡張の利用をお勧めします。少し前のバージョンはインストール後に設定を変更しないとすべてのプラグインを無効にできませんでしたが、現在のバージョンではデフォルトですべてのプラグインが無効に設定できます。
Firefoxの拡張をインストールすることは普通のアプリケーションと変わらない、と考えないとなりません。悪意のある拡張は重要な情報を簡単に盗み出せます。拡張にはツールバー等も含まれます。JavaScriptを利用してページを改造できるGreasemonkeyは便利な拡張ですが悪意のあるGreasemonkeyスクリプトは参照しているサイトのクッキーが盗める等の問題があります。安易に利用するのは非常に危険です。
仮想環境でブラウザを利用する
PCのスペックが向上してきたので仮想環境を実行しても十分な速度で実行できるようになってきました。私は10年くらいからVMWareを使いつづけています。LinuxをホストOSにしてWindows XP/Windows Vistaやテスト用のLinux等をインストールして利用しています。仮想環境のブラウザであれば開発や運用管理に利用するプラグインなどもインストールされていないのでより安全にブラウズできます。
Windows環境ならVirtual PCが無償で利用できます。さらにInternet Explorerの動作検証用にOSとブラウザがインストールされた仮想ディスクも公開されています。現在公開されているイメージは2008年4月に有効期限が切れるようになっているので常用するアプリケーションをインストールして使えるようにはなっていませんが、ブラウザを利用するだけなら十分です。
ゲストOSがLinuxでも良いならVMwwareのディスクイメージを公開しているサイトも少なくありません。無料のVMware Playerを使えば直ぐに利用できます。
VMwareのサイトに公開されているLinuxは英語版ばかりですがKnoppix日本語版もVMwareイメージがあります。
VMware WorkstationやParallels Desktop等の商用版ならスナップショット機能が利用できます。MicrosoftのVirtualPCは無料でダウンロードできますが元は商用製品だったのでスナップショットも使えるかもしれません。
仮想環境なら何もしても構わないということではありません。ルートキットをインストールされた場合の対処等は簡単になりますが、仮想環境は完全なセキュリティを提供する物ではありません。しかし、仮想環境でブラウザだけを実行させ、余計なアプリケーションを全くインストールしないのであればより安全にインターネットを利用できます。
