• IE6のセキュリティゾーン設定をすり抜けられてしまう脆弱性（INTERNET Watch）
• http://www.st.ryukoku.ac.jp/~kjm/security/memo/2004/06.html#20040615_IE
• 不正なドットなしURLアドレスによりWebページがイントラネットゾーンで処理されてしまう。
• 不正なURLアドレスによりWebページが信頼済みサイトゾーンで処理されてしまう。

という記事を読んでいて、IE利用者のうちでどのくらいの方がセキュリティゾーン設定を活用しているのか気になってきました。

IE6では、「ツール」→「インターネット オプション」→「セキュリティ」から様々な設定を行うことができます。ここで上部に「Webコンテンツのゾーンを選択してセキュリティのレベルを設定する」という記述があり、その下に4つの「ゾーン」が選択できるようになっているはずです。

• インターネット
• イントラネット
• 信頼済みサイト
• 制限付きサイト

このうち、「イントラネット」は会社内のLANなどで使われるので、家庭内ではあまり使われないでしょう。使わない場合は、あらかじめ厳しく設定してしまっても問題ないと思います。

残り3つは、WWWを通じて世界中のウェブページを見るときに適用される可能性があります。どのように適用されるかは各人の運用次第ですが、よくあるやり方で比較的安全とされるのは次のようなものです。

まず、「インターネット」ゾーンはできるだけ厳しめの設定にしておきます。例えば、ActiveXはオフとか、場合によってはアクティブスクリプトもオフとかです。しかしそれでは困ることがあるので、信頼できるサイトの場合は「信頼済みサイト」に登録することにより比較的緩やかな設定を適用します。例えば、WindowsUpdateのサイトはActiveXが必要なので、信頼済みサイトに登録するのが自然でしょう。

上の記事ではこのようなやり方をしていても上の罠は避けられないと言う意味で、注意を喚起しています。それでも、セキュリティ設定を厳しめに設定しておくことはIEを利用する上で不可欠です。