JPCERT-ED-2008-0002 JPCERT/CC 技 術 メモ - 安 全 な Web ブラウザの 使 い 方 初 版 :2008-11-04 (Ver. 1.0) 発 行 日 :2008-11-04 (Ver. 1.0) 執 筆 者 : 石 田 康 明 戸 田 洋 三 本 文 書 の 掲 載 URL:http://www.jpcert.or.jp/ed/2008/ed080002.pdf 本 文 章 は Web ブラウザを 利 用 して Web ページを 閲 覧 する 際 に 注 意 すべき 事 項 をまとめたものです 個 々のソフトウェアの 情 報 に 関 しては 常 に 最 新 のドキュメントを 参 照 して 下 さい
目 次 技 術 メモ - 安 全 な Web ブラウザの 使 い 方... 1 I. Web 環 境 を 取 り 巻 く 脅 威... 3 II. Web ブラウザ... 4 III. Web を 閲 覧 する 前 に 確 認 しておくべき 事 項... 7 1. OS や Web ブラウザは 最 新 の 状 態 に 保 つ... 7 2. セキュリティソフトを 導 入 実 行 する... 7 IV. 各 Web ブラウザに 共 通 する 設 定 上 の 注 意 事 項... 8 1. スクリプト 等 の 実 行 を 制 限 する... 8 2. ポップアップウィンドウを 制 限 する... 8 3. SSL 2.0 を 無 効 化 する... 8 V. 個 々の Web ブラウザの 注 意 事 項... 9 1. Internet Explorer 6 (IE6)... 9 2. Internet Explorer 7 (IE7)... 11 3. Firefox 2.0... 13 4. Firefox 3.0... 15 5. Safari 3... 18 VI. Web ブラウザの 操 作 上 での 注 意 事 項... 19 1. 悪 意 のある Web サイトへと 導 く 手 口... 20 2. 誘 導 されないための 対 策... 22 3. 誘 導 されてしまった 際 の 被 害 を 抑 える 対 策... 24 VII. その 他 のソフトウェアや 機 能... 25 1. URL フィルタリング... 25 2. 個 人 情 報 (プライバシー) 保 護... 26 VIII. 安 全 に 利 用 するために... 27 IX. 参 考 資 料... 29 図 表 目 次 図 1 Web ブラウザを 取 り 巻 く 環 境... 4 図 2 Internet Explorer と アドオン 等... 5 図 3 Firefox とアドオン 等... 6 図 4 Safari とアドオン 等... 6 図 5 Web ブラウザ 利 用 時 に 注 意 するポイント... 19-2 -
I. Web 環 境 を 取 り 巻 く 脅 威 情 報 の 発 信 や 収 集 において インターネットは 今 や 欠 かせないインフラであり 多 くの 人 が 利 用 して います その 中 でも Web (ウェブ)は 企 業 や 商 品 等 の 様 々な 情 報 の 広 報 や 個 人 による 自 分 の 趣 味 や 動 向 の 発 信 に 使 われるなど 重 要 な 情 報 インフラの 一 つとなっています しかし 現 在 の Web を 取 り 巻 く 環 境 に 潜 む 脅 威 は 過 去 に 比 べて 量 的 に 増 しているばかりでなく 質 的 にも ウイルスやワームなどに フィッシングなどの 新 しいタイプの 脅 威 も 加 わって 多 様 性 を 増 して きています またブラウザの 多 機 能 化 やコンテンツの 多 様 化 に 伴 い 攻 撃 手 法 や 攻 撃 対 象 も 進 化 してい ます さら に Web で 提 供 される 情 報 サービスが 増 えてきた 結 果 データの 破 壊 などのいわゆるコンピュ ータ 上 での 被 害 にとどまらず 個 人 企 業 情 報 の 盗 難 や 流 出 金 銭 被 害 や 信 用 の 毀 損 といった 大 きなダ メージを 伴 う 事 故 も 増 加 の 一 途 をたどっています インターネット 利 用 者 を 狙 った 大 規 模 な 攻 撃 感 染 は 以 前 は E-mail (メール) 等 を 利 用 した 直 接 的 な 攻 撃 を 通 じて 行 われていましたが 現 在 ではユーザ 側 による 様 々な 対 策 が 施 されてきたことに 伴 い 多 くの 人 が 利 用 している Web ブラウザを 狙 った Web ページに 悪 意 のあるコードを 仕 掛 ける 等 の 手 法 に よる 受 動 的 な 攻 撃 感 染 が 主 流 となっています しかし Web の 利 用 によるメリットは コスト 削 減 と 時 間 的 な 効 率 化 の 両 面 で 非 常 に 大 きく また 携 帯 電 話 やネット 家 電 などにも 組 み 込 まれていることから Web ブラウザを 全 く 使 わないで 済 ますことは 不 可 能 と 言 ってもよいでしょう 本 技 術 メモでは PC で Web ブラウザを 用 いる 場 合 に 安 全 に そして 手 軽 に 使 うために 利 用 者 が 守 るべき 注 意 点 を 解 説 します - 3 -
II. Web ブラウザ Web ページを 閲 覧 するためには 一 般 的 に Web ブラウザ と 呼 ばれる 閲 覧 ソフトウェアが 必 要 です このソフトウェアは 主 に HTTP と 呼 ばれる 通 信 プロトコルを 利 用 して サーバ 側 とデータを 送 受 信 しま す Web ページは HTML などの 形 式 に 従 って 記 述 されており Web ブラウザ 側 ではそれを 解 釈 し 人 間 が 閲 覧 できるようにレイアウトして 画 面 上 に 表 示 します 送 受 信 されるデータの 中 にはパスワードやクレジットカード 番 号 といった 個 人 情 報 が 含 まれる 場 合 も あり これらの 第 三 者 に 盗 み 見 られたくないデータを 送 受 信 する 場 合 は 安 全 にやりとりするためにデ ータ 暗 号 化 や 認 証 を 行 う SSL が 用 いられます http http://www.example.net/ https SSLトンネル フ ァ イ ア ウ ォ ー ル ア ン チ ウ イ ル ス ソ フ ト (そ の 他 の セ キ ュ リ テ ィ ソ フ ト ブ ラ ウ ザ ) https://www.example.co.jp/ クライアント 側 サーバ 側 図 1 Web ブラウザを 取 り 巻 く 環 境 - 4 -
Web 技 術 は 急 速 に 進 化 しており 各 ブラウザは 競 争 の 結 果 多 くの 機 能 を 標 準 搭 載 するようになって きました また Web ブラウザが 標 準 では 表 示 再 生 できないファイルを 利 用 できるようにしたり すで に 存 在 する 機 能 を 拡 張 補 充 したりするために 利 用 者 によって プラグイン や 拡 張 機 能 と 呼 ばれ る 機 能 追 加 のためのソフトウェア(ここでは 総 称 してアドオンと 呼 びます)が Web ブラウザに 組 み 込 ま れて 利 用 されることもあります また Web ブラウザの 機 能 (エンジン)は OS や 他 のアプリケーションと 連 携 して 動 作 する 場 合 があり ます 例 えば メールクライアントの 中 には HTML メールを 表 示 する 際 に ブラウザエンジンを 利 用 するものもあります 以 下 に 主 なブラウザと OS アドオン 等 の 概 念 図 を 示 します ブラウザ 拡 張 ActiveX コントロール プラグイン Internet Explorer Outlook Express WebBrowser コントロール その 他 アプリケーション Windows OS 図 2 Internet Explorer と アドオン 等 - 5 -
拡 張 機 能 テーマ プラグイン Firefox その 他 アプリケーション OS (Windows, MacOSX, Linux, ) 図 3 Firefox とアドオン 等 ブラウザ 機 能 拡 張 プラグイン Safari その 他 アプリケーション OS (MacOSX, Windows) 図 4 Safari とアドオン 等 しかし 便 利 さの 反 面 で システム 的 に 複 雑 になってきたこともあり Web の 閲 覧 時 に 注 意 すべき 事 項 も 増 えてきました - 6 -
III. Web を 閲 覧 する 前 に 確 認 しておくべき 事 項 Web ブラウザを 利 用 して 閲 覧 する 前 にあらかじめ 以 下 の 点 を 確 認 しておきましょう 1. OS や Web ブラウザは 最 新 の 状 態 に 保 つ これが 守 られていれば 多 くの 脅 威 から PC を 守 ることができる 一 番 重 要 な 事 項 です OS に 関 しては 最 新 の 状 態 を 保 つためのプログラムが 実 装 されています Windows では Windows Update (Microsoft Update) Mac OS X では ソフトウェアアップデート がこれ に 相 当 します Web ブラウザについても OS と 同 様 に 最 新 の 状 態 を 保 つための 機 能 が 実 装 されています Internet Explorer は Windows Update Firefox では ヘルプ ソフトウェアの 更 新 を 確 認 Safari に 関 しては Mac OS X 版 ではソフトウェアアップデートで Windows 版 では Apple Software Update を 利 用 することで 最 新 の 状 態 を 保 つことができます サポートが 終 了 した OS や Web ブラウザ アドオンは 通 常 脆 弱 性 やバグが 発 見 された 場 合 でも 修 正 が 行 われず そのようなブラウザを 使 い 続 けることは 攻 撃 者 に 対 して 付 け 入 る 隙 を 与 えることになるため 利 用 すべきではありません 自 分 が 利 用 している OS ソフトウェアのサポートが 終 了 していないかどうかを 今 一 度 確 認 して みて 下 さい 2. セキュリティソフトを 導 入 実 行 する セキュリティソフトとは いわゆるウイルス 対 策 ソフトや(パーソナル)ファイアウォールなどを 指 し ウイルスの 侵 入 や 外 部 の 攻 撃 から PC を 守 るために 利 用 されます Web を 利 用 した 攻 撃 の 中 に 一 見 しただけではわからない 形 で 攻 撃 用 の 不 正 なコードを Web ページに 仕 掛 け 利 用 しているユーザに 気 づかれないように 個 人 情 報 を 盗 むものがあります ま た 有 名 な Web ページや 利 用 者 が 多 い Web ページが 狙 って 改 竄 され 不 正 なコードが 仕 掛 けら れていることもあります このような 場 合 には 細 心 の 注 意 を 払 っていたとしても 人 間 の 眼 で 発 見 することは 容 易 ではあ りません セキュリティソフトを 利 用 することでこれらの 攻 撃 や 不 正 なコードを 検 出 し 未 然 に 防 ぐことができるようにしておきましょう - 7 -
IV. 各 Web ブラウザに 共 通 する 設 定 上 の 注 意 事 項 本 章 では 安 全 な Web アクセスのためのブラウザ 設 定 の 注 意 事 項 について 一 般 的 な 考 え 方 を 解 説 し ます 個 々の Web ブラウザにおける 具 体 的 な 設 定 方 法 については 次 章 を 参 照 してください 1. スクリプト 等 の 実 行 を 制 限 する JavaScript 等 のスクリプトや ActiveX コントロールなどは Web ブラウザ 上 で 表 示 を 変 え て 動 きのある 動 的 なコンテンツを 生 成 表 示 するための 技 術 です 静 的 なコンテンツをダウンロードすることによって 表 示 を 更 新 していた 従 来 の 方 式 に 比 べて これらの 技 術 を 利 用 すれば ローカルマシン 上 で Web アプリケーションの 処 理 を 可 能 となり Ajax に 代 表 されるインタラクティブなインターフェースが 実 現 できるなど 高 い 利 便 性 が 得 られ ます 反 面 PC 上 の 重 要 なファイルを 削 除 変 更 するなど 悪 意 を 持 った 処 理 が 行 われる 可 能 性 もあります 従 って 無 制 限 にスクリプト 等 を 実 行 できるようにしておくのはセキュリティ 上 好 ま しくありません これらの 機 能 は 原 則 無 効 とした 上 で 信 頼 できる Web サイトでのみ 限 定 的 に 有 効 とする 等 一 定 の 制 限 を 加 えた 上 で 実 行 できるようにすべきです 通 常 ブラウザにはスクリプト 等 を 制 限 するための 機 能 が 標 準 的 に 備 わっており またアドオンではより 詳 細 な 設 定 を 行 えるものもあり ます 適 切 な 設 定 を 行 い 上 手 に 活 用 しましょう 2. ポップアップウィンドウを 制 限 する Web ページ 上 のリンクをクリックした 際 に 閲 覧 している Web ブラウザのウィンドウとは 別 にウィンドウが 開 くことがあります これはポップアップウィンドウと 呼 ばれ 広 告 目 的 などで 注 目 させたい 内 容 を 特 別 に 目 立 たせるために 利 用 されることがあります しかし こういったポップアップウィンドウの 中 に 攻 撃 者 による 不 正 なコード 等 が 仕 掛 けられ ていたり ウィンドウを 消 すと 新 たなウィンドウが 立 ち 上 がるように 設 定 されていることがあり PC が 予 期 せぬ 状 態 に 陥 ってしまう 可 能 性 があります ポップアップウィンドウは 自 分 が 信 頼 できる Web ページのみ 許 可 するようにしましょう 3. SSL 2.0 を 無 効 化 する SSL 2.0 には 実 装 上 の 脆 弱 性 があります SSL 2.0 のみでしか 利 用 できない Web ページはほ とんど 存 在 せず またサポートしている 暗 号 のアルゴリズムも 古 いため ブラウザの 設 定 で 無 効 化 して 使 わないようにすべきです すでに SSL 2.0 をサポートしていない Web ブラウザもあり ますが IE6 は 初 期 状 態 では SSL 2.0 が 有 効 になっているため あらかじめ 無 効 化 しておく 注 意 が 必 要 です - 8 -
V. 個 々の Web ブラウザの 注 意 事 項 この 章 では 前 章 で 述 べた 注 意 事 項 に 対 応 する 個 々の Web ブラウザでの 具 体 的 な 設 定 方 法 を 主 な Web ブラウザについて 説 明 していきます 1. Internet Explorer 6 (IE6) 本 文 では Windows XP SP3 + IE6 SP3 での 利 用 を 前 提 としています 公 式 Web ページ: http://www.microsoft.com/japan/windows/ie/ie6/default.mspx IE6 は Windows XP に 標 準 搭 載 されており Windows 2000 でも Windows Update 等 で 別 途 インストールすることで 利 用 できます よりセキュアにするための 設 定 には 次 のようなものがあります 1 スクリプト 等 の 実 行 を 制 限 する Internet Explorer 6 上 で [ツール] [インターネットオプション] [セキュリティ] [Web コンテンツのゾーン * を 選 択 してセキュリティのレベルを 設 定 する] [インターネット] / [イントラネット]/ [ 信 頼 済 みサイト]/ [ 制 限 付 きサイト]を 選 択 [ 既 定 のレベル]を 選 択 する もしくは[レベルのカスタマイズ]で 各 種 スクリプトごとに ゾーンごとの 信 頼 度 に 応 じて 有 効 / 無 効 / 確 認 を 求 める 等 を 選 択 する 場 合 によって[ 信 頼 済 みサイト]/ [ 制 限 サイト]のそれぞれのゾーンごとに Web サイト の 信 頼 度 に 応 じて URL を[ 追 加 ]/[ 削 除 ]する 2 ポップアップウィンドウを 制 限 する Internet Explorer 6 上 で [ツール] [インターネットオプション] [プライバシー] [ポップアップ ブロック] [ポップアップをブロックする]にチェック 例 外 的 にポップアップウィンドウを 許 可 する 場 合 は 右 にある[ 設 定 ]ボタンより [ 例 外 ] [ 許 可 する Web サイトのアドレス]にアドレスを 追 加 する * ゾーン とはこの 場 合 セキュリティゾーンとも 呼 ばれ Internet Explorer では 様 々な Web サイトを 登 録 することで 適 切 なセキュリティレベルを 適 用 することができます [インターネット] / [イントラネット]/ [ 信 頼 済 みサイト]/ [ 制 限 付 き サイト]の 4 ゾーンがあり 特 に 設 定 しない 限 りインターネットゾーンが 適 用 されます - 9 -
3 SSL 2.0 を 無 効 化 する Internet Explorer 6 上 で [ツール] [インターネットオプション] [ 詳 細 設 定 ] [セキュリティ] [SSL 2.0 を 使 用 する]のチェックをはずす 4 アドオンを 有 効 / 無 効 化 する Internet Explorer 6 上 で [ツール] [インターネットオプション] [プログラム] [アドオンの 管 理 ] [ 現 在 Internet Explorer で 読 み 込 まれているアドオン] 有 効 化 / 無 効 化 したいアドオンを 選 択 し [ 設 定 ]より 有 効 / 無 効 を 選 択 する - 10 -
2. Internet Explorer 7 (IE7) 本 文 では Windows Vista SP1 + IE7 SP1 での 利 用 を 前 提 としています 公 式 Web ページ: http://www.microsoft.com/japan/windows/products/winfamily/ie/default.mspx IE7 は Windows Vista に 標 準 搭 載 されており Windows XP でも Windows Update 等 で 別 途 インストールすることで 利 用 できます よりセキュアにするための 設 定 には 次 のようなものがあります 1 スクリプト 等 の 実 行 を 制 限 する Internet Explorer 7 上 で [ツール] [インターネットオプション] [セキュリティ] [セキュリティ 設 定 を 表 示 または 変 更 するゾーンを 選 択 して 下 さい ] [インターネット] / [ローカルイントラネット]/ [ 信 頼 済 みサイト]/ [ 制 限 付 きサイト]を 選 択 [ 既 定 のレベル]を 選 択 する もしくは[レベルのカスタマイズ]で 各 種 スクリプトごとに ゾーン ごとの 信 頼 度 に 応 じて 有 効 / 無 効 / 確 認 を 求 める 等 を 選 択 する 場 合 によって[ 信 頼 済 みサイト]/ [ 制 限 サイト]のそれぞれのゾーンごとに Web サイト 信 頼 度 に 応 じて URL を[ 追 加 ]/[ 削 除 ]する 2 ポップアップウィンドウを 制 限 する Internet Explorer 7 上 で [ツール] [ポップアップ ブロック] [ポップアップ ブロックを 有 効 にする]を 選 択 例 外 的 にポップアップウィンドウを 許 可 する 場 合 は [ポップアップ ブロックの 設 定 ]よ り [ 許 可 する Web サイトのアドレス]にアドレスを 追 加 する 3 アドオンを 有 効 / 無 効 化 する Internet Explorer 7 上 で [ツール] [アドオンの 管 理 ] [アドオンを 有 効 または 無 効 にする] 有 効 化 / 無 効 化 したいアドオンを 選 択 し [ 設 定 ]より 有 効 / 無 効 を 選 択 する - 11 -
4 フィッシング 詐 欺 検 出 機 能 を 有 効 化 する Internet Explorer 7 上 で [ツール] [フィッシング 詐 欺 検 出 機 能 ] [ 自 動 的 な Web サイトの 確 認 を 有 効 にする]を 選 択 5 プライバシー 情 報 の 消 去 Internet Explorer 7 上 で [ツール] [インターネットオプション] [ 閲 覧 の 履 歴 ] [ 削 除 ]をクリック [すべて 削 除 ]もしくは[インターネット 一 時 ファイル] [Cookie] [ 履 歴 ] [フォーム デ ータ] [パスワード]の 中 からプライバシー 情 報 を 消 去 したいものを 選 んでクリック - 12 -
3. Firefox 2.0 本 文 では Windows XP SP3 + Firefox 2.0.0.17 での 利 用 を 前 提 としています 公 式 Web ページ: http://mozilla.jp/firefox/all-older Firefox 2.0 は Mozilla Foundation がリリースしている Web ブラウザで Windows シリー ズや Mac OS X Linux 等 の 多 くの OS でリリースされています 多 くの 開 発 者 により 作 成 され た 様 々な 機 能 を 持 つアドオンが 提 供 されており ユーザが 任 意 に 追 加 することが 可 能 です なお すでに 後 継 となる Firefox 3.0 がリリースされているため 2008 年 12 月 中 旬 をもって セキュリティ 修 正 を 含 めた 全 ての 更 新 が 停 止 する 予 定 となっています 1 スクリプト 等 の 実 行 を 制 限 する Firefox 2.0 上 で [ツール] [オプション] [コンテンツ] [JavaScript を 有 効 にする]のチェックボックスを 外 す [Java を 有 効 にする]のチェックボックスを 外 す しかしこの 場 合 一 切 実 行 できなくなるため 一 部 のサイトでは 有 効 にしたい という 場 合 は 拡 張 機 能 の 一 つ NoScript が 便 利 です NoScript: https://addons.mozilla.org/ja/firefox/addon/722 この 拡 張 機 能 は JavaScript や Java のみではなく Adobe Flash Player などのプラ グインの 制 御 も 行 えます スクリプト 等 を 実 行 したいサイトでは 設 定 することで 一 時 的 に もしくは 恒 久 的 に 実 行 を 許 可 することができます なお 安 全 に 利 用 することを 考 慮 し 通 常 は 原 則 スクリプト 等 の 実 行 は 無 効 にした 上 で 実 行 する 必 要 があるサイトでのみ 一 時 的 に 許 可 することが 望 ましいでしょう 2 ポップアップウィンドウを 制 限 する Firefox 2.0 上 で [ツール] [オプション] [コンテンツ] [ポップアップウィンドウをブロックする]にチェック 例 外 的 にポップアップウィンドウを 許 可 する 場 合 は 右 にある[ 許 可 サイト]ボタンよりサ イトのアドレスを 入 力 し [ 許 可 ]ボタンを 押 します - 13 -
3 拡 張 機 能 を 有 効 / 無 効 化 する Firefox 2.0 上 で [ツール] [アドオン] [ 拡 張 機 能 ] 有 効 化 / 無 効 化 したい 拡 張 機 能 を 選 択 し [ 有 効 ]/[ 無 効 ]ボタンを 押 す 4 拡 張 機 能 やテーマの 更 新 を 確 認 する 拡 張 機 能 やテーマを 導 入 していくと どのアドオンが 更 新 されたかの 確 認 に 手 間 がかかるよ うになります セキュリティ 上 の 問 題 が 修 正 される 場 合 もあり 更 新 されたアドオンを 自 動 的 に 確 認 できることが 望 ましいです この 確 認 を 補 助 する 手 段 として Firefox 2.0 では 標 準 で 更 新 確 認 のための 機 能 を 備 えていま す Firefox 2.0 上 で [ツール] [アドオン] [ 拡 張 機 能 ] [ 更 新 を 確 認 ]ボタンを 押 す [ツール] [アドオン] [テーマ] [ 更 新 を 確 認 ]ボタンを 押 す また 拡 張 機 能 でも 更 新 の 確 認 を 補 助 するものとして Update Notifier があります Update Notifier: https://addons.mozilla.org/ja/firefox/addon/2098 この 拡 張 機 能 は Firefox 2.0 にインストールされているアドオンをチェックし 更 新 さ れているものがあればアラートをあげてユーザに 対 応 を 促 します これによりアドオンの 更 新 に 気 づかず 対 応 を 忘 れてしまい 脆 弱 なまま 放 置 されてしまう 可 能 性 が 少 なくなりま す 5 プライバシー 情 報 の 消 去 Firefox 2.0 上 で [ツール] [オプション] [プライバシー] [プライバシー 情 報 ] [Firefox の 終 了 時 にプライバシー 情 報 を 消 去 する]にチェック [ 設 定 ]から 細 かい 設 定 が 可 能 - 14 -
4. Firefox 3.0 本 文 では Windows XP SP3 + Firefox 3.0.3 での 利 用 を 前 提 としています 公 式 Web ページ: http://mozilla.jp/firefox/ Firefox 3.0 は Mozilla Foundation がリリースしている Web ブラウザで Windows シリー ズや Mac OS X Linux 等 の 多 くの OS でリリースされています 多 くの 開 発 者 により 作 成 され た 様 々な 機 能 を 持 つアドオンが 提 供 されており ユーザが 任 意 に 追 加 することが 可 能 です 1 スクリプト 等 の 実 行 を 制 限 する Firefox 3.0 上 で [ツール] [オプション] [コンテンツ] [JavaScript を 有 効 にする]のチェックボックスを 外 す [Java を 有 効 にする]のチェックボックスを 外 す しかしこの 場 合 一 切 実 行 できなくなるため 一 部 のサイトでは 有 効 にしたい という 場 合 は 拡 張 機 能 の 一 つ NoScript が 便 利 です NoScript: https://addons.mozilla.org/ja/firefox/addon/722 この 拡 張 機 能 は JavaScript や Java のみではなく Adobe Flash Player などのプラ グインの 制 御 も 行 えます スクリプト 等 を 実 行 したいサイトでは 設 定 することで 一 時 的 に もしくは 恒 久 的 に 実 行 を 許 可 することができます なお 安 全 に 利 用 することを 考 慮 し 通 常 は 原 則 スクリプト 等 の 実 行 は 無 効 にした 上 で 実 行 する 必 要 があるサイトでのみ 一 時 的 に 許 可 することが 望 ましいでしょう 2 ポップアップウィンドウを 制 限 する Firefox 3.0 上 で [ツール] [オプション] [コンテンツ] [ポップアップウィンドウをブロックする]にチェック 例 外 的 にポップアップウィンドウを 許 可 する 場 合 は 右 にある[ 許 可 サイト]ボタンよりサ イトのアドレスを 入 力 し [ 許 可 ]ボタンを 押 します - 15 -
3 拡 張 機 能 を 有 効 / 無 効 化 する Firefox 3.0 上 で [ツール] [アドオン] [ 拡 張 機 能 ] 有 効 化 / 無 効 化 したい 拡 張 機 能 を 選 択 し [ 有 効 ]/[ 無 効 ]ボタンを 押 す 4 拡 張 機 能 やテーマの 更 新 を 確 認 する 拡 張 機 能 やテーマを 導 入 していくと どのアドオンが 更 新 されたかの 確 認 に 手 間 がかかるよ うになります セキュリティ 上 の 問 題 が 修 正 される 場 合 もあり 更 新 されたアドオンを 自 動 的 に 確 認 できることが 望 ましいです この 確 認 を 補 助 する 手 段 として Firefox 3.0 では 標 準 で 更 新 確 認 のための 機 能 を 備 えていま す Firefox 3.0 上 で [ツール] [アドオン] [ 拡 張 機 能 ] [ 更 新 を 確 認 ]ボタンを 押 す [ツール] [アドオン] [テーマ] [ 更 新 を 確 認 ]ボタンを 押 す また 拡 張 機 能 でも 更 新 の 確 認 を 補 助 するものとして Update Notifier があります Update Notifier: https://addons.mozilla.org/ja/firefox/addon/2098 この 拡 張 機 能 は Firefox 3.0 にインストールされているアドオンをチェックし 更 新 さ れているものがあればアラートをあげてユーザに 対 応 を 促 します これによりアドオンの 更 新 に 気 づかず 対 応 を 忘 れてしまい 脆 弱 なまま 放 置 されてしまう 可 能 性 が 少 なくなりま す 5 プラグインを 有 効 / 無 効 化 する プラグインのバージョンを 確 認 する Firefox 3.0 では 新 たにプラグインに 関 する 管 理 をアドオンから 行 うことができるようにな りました プラグインの 有 効 / 無 効 化 およびバージョンの 確 認 を 行 うことができます しかし 拡 張 機 能 やテーマとは 異 なり 更 新 の 確 認 やアップデートは 行 うことができませんので 注 意 して 下 さい Firefox 3.0 上 で [ツール] [アドオン] [プラグイン] 有 効 化 / 無 効 化 したいプラグインを 選 択 し [ 有 効 ]/[ 無 効 ]ボタンを 押 す プラグイン 名 の 下 に 書 かれているバージョンを 確 認 する( 書 かれていないものもあり ます) - 16 -
6 プライバシー 情 報 の 消 去 Firefox 3.0 上 で [ツール] [オプション] [プライバシー] [プライバシー 情 報 ] [Firefox の 終 了 時 にプライバシー 情 報 を 消 去 する]にチェック [ 設 定 ]から 細 かい 設 定 が 可 能 - 17 -
5. Safari 3 本 文 では Mac OS X 10.5 + Safari 3.1.2 での 利 用 を 前 提 としています 公 式 Web ページ: http://www.apple.com/jp/macosx/features/safari.html Safari は Apple がリリースしている Web ブラウザで Mac OS X シリーズには 標 準 搭 載 さ れています Windows OS でも 別 途 ダウンロード 等 で 入 手 し インストールすることで 利 用 可 能 になります 1 スクリプト 等 の 実 行 を 制 限 する Safari 3 上 で [Safari] [ 環 境 設 定 ] [セキュリティ] [JavaScript を 有 効 にする]のチェックボックスを 外 す [Java を 有 効 にする]のチェックボックスを 外 す しかしこの 場 合 一 切 実 行 できなくなるため 利 用 の 際 には 注 意 が 必 要 です 2 ポップアップウィンドウを 制 限 する Safari 3 上 で [Safari] [ポップアップウィンドウを 開 かない]にチェック 3 プラグインを 有 効 / 無 効 化 する Safari 3 上 で [Safari] [ 環 境 設 定 ] [セキュリティ] [プラグインを 有 効 にする]のチェックボックスで 有 効 / 無 効 化 する - 18 -
VI. Web ブラウザの 操 作 上 での 注 意 事 項 Web ブラウザを 使 用 して Web を 閲 覧 する 際 に 注 意 すべき 事 項 のうち ソフトウェアの 更 新 や 設 定 等 で 防 ぐことのできるものについては 前 章 までに 解 説 しました しかし 安 全 な Web アクセスのためには それだけでは 十 分 ではありません 例 えば 正 規 の 組 織 やサービスのページのように 見 せかけた 不 正 なページが 存 在 します このような ページは 攻 撃 者 が 仕 掛 けた 悪 意 のあるページであることが 多 く 金 融 機 関 や 特 定 のサービスのアカウン トやパスワードを 盗 み 取 る 目 的 (フィッシング * )で 設 置 されています 他 にもクロスサイトスクリプティ ング クロスサイトリクエストフォージェリ といった 攻 撃 者 が 仕 掛 けた 罠 が 不 正 な Web ページに は 設 置 されています こうした 落 とし 穴 を 作 りこんで 待 ち 受 けていて ユーザが 操 作 を 行 って 初 めて 被 害 が 発 生 するタイプ の 攻 撃 を 受 動 型 攻 撃 と 呼 びます 受 動 型 攻 撃 の 被 害 を 避 けるためには 悪 意 のある Web サイトを 訪 れないことに 尽 きますが 攻 撃 者 は 様 々な 手 段 を 用 いて 巧 みに 利 用 者 を 悪 意 のある Web サイトに 誘 導 します アドレスバー www.jpcert.or.jp 現 在 見 ているWebサイト 現 在 閲 覧 している WebページのURL もしURLが 目 的 のWebサイトの ドメインと 異 なっていたら? もし 誘 導 されたら? もし 表 示 しているリンクの 内 容 と 全 く 関 係 の ないWebサイトにリンクされていたら? 悪 意 のある Webサイト jvn.jp カーソルが 置 かれているリンクのURL クリックすることでWebサイトへ 移 動 これから 移 動 しようと しているWebサイト もしここが 書 き 換 えられていたら? ステータスバー 図 5 Web ブラウザ 利 用 時 に 注 意 するポイント * 銀 行 やオークションなどのオンラインサービスを 装 った Web サイトへ 誘 導 し ユーザの 口 座 番 号 暗 証 番 号 個 人 情 報 などの 重 要 な 情 報 を 盗 み 取 ろうとする 行 為 脆 弱 な Web サイトを 介 してユーザのブラウザ 上 で 悪 意 のあるスクリプトを 実 行 させる 攻 撃 結 果 として 個 人 情 報 が 漏 洩 したり 意 図 しない 商 取 引 が 行 われたりする 等 の 被 害 が 発 生 する ログイン 状 態 が 保 持 された Web サイトに 対 し 外 部 のサイトを 利 用 した 悪 意 のあるリクエストがブラウザ 経 由 で 送 り 込 まれる 攻 撃 結 果 としてユーザの 意 図 しない 処 理 例 えばパスワードの 不 正 変 更 や 意 図 しない 商 取 引 などが 行 われてしまう - 19 -
1. 悪 意 のある Web サイトへと 導 く 手 口 悪 意 のある Web サイトに 利 用 者 をアクセスさせる 手 口 としては 例 えば 以 下 のようなものが あります 1 迷 惑 メール フィッシングメール 一 般 的 に 迷 惑 メールとは 受 信 する 側 の 同 意 を 得 ずに 広 告 などを 送 りつけるメールを 指 しま す その 一 部 は 悪 意 のある Web サイトへ 誘 導 する 目 的 で 発 信 されています 例 えば 今 だけ 9 割 引! とか あなたにだけお 知 らせするお 得 な 情 報! あるいは 興 味 を 引 きそうな 架 空 のニュースの 見 出 し 等 閲 覧 意 欲 をあおるようなキーワードとともに 悪 意 のある Web ペ ージへのリンクを 記 載 し 誘 導 しようとします 特 に フィッシングメールの 場 合 は 金 銭 的 な 被 害 に 結 びつく 可 能 性 もあります 2 掲 示 板 ブログ 等 の 書 込 み 掲 示 板 は 多 くの 場 合 不 特 定 多 数 のユーザによって 書 込 みが 行 われ 様 々な 情 報 が 交 錯 して います 多 様 な 情 報 の 中 には 有 用 なページへのリンクのように 見 せかけて 悪 意 のある Web サイトへのリンクを 載 せたものが 混 在 している 可 能 性 もあります 掲 示 板 と 同 様 にブログのコメント 欄 やトラックバックなどでも 悪 意 のある Web サイトへ のリンクが 書 き 込 まれている 場 合 があります 3 リンクの 偽 装 悪 意 のあるページへのリンクを 問 題 のないページへのリンクのように 見 せかけることをリ ンクの 偽 装 と 言 います 巧 妙 に 偽 装 がなされている 場 合 には 多 くのユーザが 悪 意 あるページ であることに 気 づくことなくリンクをクリックしてしまいます 4 サーチエンジンの 利 用 サーチエンジンの 検 索 結 果 は 一 般 的 に キーワードとのマッチングの 程 度 が 高 いページほど また 多 くのユーザが 訪 れたページほど 最 初 に 表 示 されます このためユーザは 最 初 の 部 分 に 出 てくるページについては 深 く 考 えずに 訪 れる 傾 向 があり ます 攻 撃 者 はユーザのこのような 行 動 パターンを 想 定 し 関 連 するキーワードをページ 中 に 多 用 するなどの 手 法 を 使 って 本 来 アクセスすべきページよりも 悪 意 のあるページが 検 索 結 果 の 上 位 に 来 るように 細 工 をして 多 くのユーザに 有 用 なサイトであると 誤 認 させてアクセスさ せます サーチエンジンを 利 用 する 際 は 検 索 結 果 の 最 初 に 来 ていたとしても 悪 意 のある Web ペー ジである 可 能 性 があることを 念 頭 に 置 く 必 要 があります - 20 -
5 URL の 打 ち 間 違 い 等 を 狙 った 正 規 のドメインに 似 せたドメイン Web ブラウザのアドレスバーに 直 接 URL を 入 力 して Web ページへアクセスする 際 に ユーザが 犯 す URL の 打 ち 間 違 いを 狙 って 攻 撃 者 が 正 規 のドメインに 似 せたドメインを 取 得 し そこに 悪 意 のある Web ページを 作 成 していることがあります この 攻 撃 の 多 くは 有 名 な 組 織 のドメインを 狙 います 例 えば 北 京 オリンピックの 公 式 サイトに 似 たドメインが 取 得 さ れ フィッシング 詐 欺 サイトが 設 けられた 事 例 がありました この 詐 欺 サイトではオリンピッ クの 観 戦 チケットを 安 く 売 るように 見 せかけ ユーザのクレジットカード 情 報 を 騙 し 取 ってい ました - 21 -
2. 誘 導 されないための 対 策 悪 意 のある Web サイトであることを 事 前 に 察 知 しアクセスしないようにするためには まず 閲 覧 している および 閲 覧 しようとしている Web サイトおよび Web コンテンツをどのような 人 が 作 成 し 確 認 したのかを 正 しく 見 極 める 必 要 があります 前 節 で 取 り 上 げた 項 目 に 即 して それ ぞれの 対 策 を 考 えてみましょう 1 迷 惑 メール フィッシングメール フィッシングメールの 場 合 本 来 訪 問 すべきなのは 金 融 機 関 などが 運 用 する 個 人 情 報 等 を 取 り 扱 う Web サイトです そうした 重 要 なWebサイトへのアクセスにあたっては 当 該 組 織 か ら 送 られてきた 書 類 などに 記 載 されている URL を 手 動 で 入 力 した 上 であらかじめブックマ ークしておき アクセスする 際 はブックマークのみを 利 用 し フィッシングメールの 可 能 性 を 否 定 できないメール 中 のリンクをクリックしないようにして 下 さい また 迷 惑 メール フィッシングメールをインターネットプロバイダ 等 のサービスやメール ソフトの 機 能 あるいは 専 用 のソフトウェア 等 を 用 いて 積 極 的 に 削 除 するよう 努 めましょう さらに 偶 発 的 なクリックによる 被 害 を 避 けるため 可 能 ならばメールソフトの 設 定 で HTML メールを 標 準 では 開 かないようにした 方 が 良 いでしょう 2 掲 示 板 ブログ 等 の 書 込 み 不 特 定 多 数 によって 書 き 込 みが 行 われる 掲 示 板 ブログ 等 の Web サイトでは 極 力 リンク をクリックしない 方 がよいでしょう どうしてもリンク 先 にアクセスしたい 場 合 は リンクを クリックする 前 に カーソルをリンクの 上 に 移 動 し ステータスバーなどでアクセスしようと している URL を 確 認 し 信 頼 できるドメインかどうかを 十 分 に 吟 味 した 上 でクリックして 下 さい 3 リンクの 偽 装 表 示 と 参 照 先 URLが 異 なる 単 純 な HTML 上 の 表 示 の 偽 装 への 対 策 は 上 記 2の 対 策 で 紹 介 したステータスバーなどによる 確 認 が 良 いでしょう しかし 一 部 Web サイトでは JavaScript 等 によってステータスバーに 表 示 される URL を 置 き 換 えている 場 合 があります これを 防 ぐにはスクリプトの 実 行 を 一 旦 制 限 した 上 で URL を 確 認 する必 要 があります 4 サーチエンジンの 利 用 最 近 では サーチエンジンの 検 索 結 果 に リンク 先 の URL や 内 容 の 一 部 が 表 示 されること が 多 く これらの 情 報 を 参 考 に 危 険 なページである 可 能 性 を 吟 味 しましょう また 日 常 的 に 訪 れる Web サイトは サーチエンジンを 利 用 したアクセスを 避 け ブックマークを 利 用 する ようにしましょう - 22 -
5 URL の 打 ち 間 違 い 等 を 狙 った 正 規 のドメインに 似 せたドメイン URL を 入 力 する 際 は 特 にトップレベルドメイン (.jp,.com,.org,.net 等 ) や 属 性 ドメイン (.co.jp,.or.jp,.go.jp 等 ) にも 注 意 を 払 い 曖 昧 な 記 憶 に 頼 らないようにしましょう また 発 音 が 似 た 別 の 綴 りや 同 じ 文 字 が 多 く 並 ぶドメインの 打 ち 間 違 いにも 注 意 しましょう また 最 近 では 日 本 語 もドメインに 利 用 できるようになり 半 角 と 全 角 との 打 ち 間 違 いによ っても 別 のサイトにアクセスする 可 能 性 があることにも 注 意 しましょう - 23 -
3. 誘 導 されてしまった 際 の 被 害 を 抑 える 対 策 うっかり 悪 意 のある Web ページを 閲 覧 してしまった 場 合 に 備 えて 以 下 のような 対 策 を 行 う ことで 被 害 を 最 小 限 に 抑 えられる 可 能 性 があります 1 認 証 を 要 求 されるサイトを 利 用 している 間 はログアウトするまで 他 のサイトにアクセスしな い クロスサイトリクエストフォージェリが 仕 掛 けられたページを 閲 覧 した 場 合 攻 撃 者 が 標 的 としている Web ページに 対 し 偽 造 (forgery)リクエストが 送 られます この 時 標 的 となる Web ページにログインした 状 態 にあると 偽 造 リクエストが 処 理 されてしまいます このよ うな 攻 撃 を 防 ぐために 認 証 を 要 求 されるサイトを 利 用 している 間 は 他 のサイトへのアクセス を 行 わず ログアウトしてから 他 のサイトへアクセスするとよいでしょう さらに 可 能 であ れば 一 旦 Web ブラウザ を 終 了 してから 再 起 動 して 他 のサイトへアクセスしましょう 2 信 頼 できる Web サイトであると 確 認 できるまではスクリプト 等 を 停 止 しておく どのような Web サイトであっても 信 頼 できる Web サイトであると 確 認 できるまではス クリプト 等 を 動 作 させないほうがよいでしょう スクリプト 等 を 停 止 しておくことで 悪 意 のあ るコードや 偽 造 リクエストの 実 行 を 防 げるため 効 果 があります 3 SSL サーバ 証 明 書 が 正 規 の 証 明 書 であるかどうかを 確 認 する HTTPS による 暗 号 化 通 信 が 行 われている Web ページでは SSL サーバ 証 明 書 に 問 題 がな いことを 確 認 することが 重 要 です Web ブラウザは 証 明 書 の 検 証 を 自 動 で 行 い 失 敗 した 場 合 には 警 告 を 表 示 します 警 告 が 表 示 された 場 合 には 速 やかにその Web ページの 閲 覧 を 中 止 してください また フィッシングサイトなどでは 形 式 的 には 正 当 とされる 証 明 書 を 利 用 していることがあ るため アドレスバーに 表 示 された URL が 意 図 した 正 規 の URL であることを 確 認 してくだ さい - 24 -
VII. その 他 のソフトウェアや 機 能 Web ブラウザを 利 用 して Web ページを 閲 覧 する 際 に 注 意 すべき 事 項 設 定 について 説 明 してきまし たが 今 までに 説 明 してきたもの 以 外 にも 安 全 に Web ページを 閲 覧 する 上 で 併 用 するとよいソフトウ ェアや 機 能 があります 1. URL フィルタリング URL フィルタリングを 利 用 すれば ページの 内 容 に 応 じたカテゴリ 分 けがなされ ユーザは 自 分 が 望 むカテゴリのみにアクセスを 限 定 し 望 まないカテゴリのページをフィルタリングするこ とができます 組 織 で 導 入 する 場 合 には 管 理 者 が 業 務 に 関 係 のないカテゴリをフィルタすることで 私 用 利 用 を 防 ぐことができるメリットもあります またユーザが 不 用 意 に 悪 意 のある Web サイトを 閲 覧 してしまうことや Web メール 等 による 外 部 への 情 報 の 持 ち 出 しを 防 ぐ 効 果 も 期 待 できます ただし フィルタリングのカテゴリ 分 けの 判 断 は 提 供 ベンダによるため フィルタされること を 望 んでいたページがフィルタされないことや その 逆 の 場 合 もあります また 新 規 に 作 成 され た Web ページの 場 合 はそもそも 提 供 ベンダのデータベースに 登 録 されていないため フィルタ リングされないこともあります 多 くの 製 品 にはホワイトリスト/ブラックリスト 機 能 が 標 準 で 備 わっており これを 利 用 すれば フィルタリング 対 象 をカスタマイズしておくことも 可 能 です URL フィルタリング 製 品 としては アプライアンスボックスやサーバ 上 で 動 作 するタイプ ク ライアント 上 で 稼 動 するアンチウイルスソフトに 同 梱 されたタイプなどがあります また URL フィルタリングに 類 似 した 製 品 として Web ページを 解 析 した 上 で ダウンロード 用 のリンク 数 やスクリプトの 有 無 をチェックし そのスコアに 応 じて Web ページの 危 険 度 の 評 価 値 を 表 示 するものもあります このカテゴリで 無 償 で 利 用 できるものに McAfee 社 の SiteAdvisor があります McAfee SiteAdvisor : http://www.siteadvisor.com/ SiteAdvisor は 検 索 エンジンで 検 索 した 結 果 に 基 づいて 初 めて 訪 れる Web ページなどで 危 険 な Web ページかどうかの 評 価 値 を 得 て 判 断 の 参 考 とできるため 一 定 の 効 果 があります 2008 年 10 月 現 在 IE 用 のプラグインと Firefox 用 の 拡 張 機 能 が 提 供 されています - 25 -
2. 個 人 情 報 (プライバシー) 保 護 フィッシングやクロスサイトスクリプティングなど 様 々な 手 法 で 攻 撃 者 側 はユーザの 個 人 情 報 を 狙 っています そのため あらかじめ 登 録 された 個 人 情 報 (クレジットカード 番 号 やアカウン ト パスワードなど)が Web ブラウザ 等 を 経 由 して 外 部 に 送 信 されようとした 時 にアラートをあ げ 送 信 を 止 める 機 能 を 個 人 情 報 保 護 機 能 と 呼 びます 個 人 情 報 保 護 機 能 は 最 近 ではアンチウイルスソフトに 同 梱 されることも 多 くなりましたが 個 人 情 報 保 護 機 能 のみを 単 体 で 提 供 するソフトウェアもあります - 26 -
VIII. 安 全 に 利 用 するために 本 文 書 では Web ブラウザに 関 して あらかじめ 行 っておくべき 設 定 や Web ページを 閲 覧 する 際 に 注 意 すべき 事 項 や 操 作 法 について 記 載 してきました その 中 で OS や Web ブラウザを 最 新 の 状 態 に 保 つことの 重 要 性 を 指 摘 しました 新 たなアップデー トが 出 た 場 合 には アップデートを 適 用 するだけではなく 一 歩 踏 み 込 んでどのような 脆 弱 性 があり 修 正 されたのかを 把 握 しておくと 今 後 の PC の 管 理 や 万 が 一 攻 撃 の 被 害 に 遭 ってしまった 場 合 に 役 立 つ でしょう しかし 利 用 している OS や Web ブラウザについてのアップデート 情 報 は 一 般 的 に 個 々の 製 品 毎 に 分 散 しており 場 合 によってはすぐに 見 つけることが 難 しいかもしれません こういったユーザや 管 理 者 を 手 助 けするための Web サイトの 一 つとして JVN (Japan Vulnerability Notes) があります JVN : https://jvn.jp/ OS や Web ブラウザ 以 外 のソフトウェアに 関 する 情 報 も 掲 載 されているため アドオンの 情 報 を 収 集 する 際 にも 便 利 です またユーザ 側 の 対 策 が 進 むのに 対 抗 して 攻 撃 者 は 次 々と 新 たな 攻 撃 方 法 を 考 案 して 襲 い 掛 かってき ます ユーザはそうした 新 たな 攻 撃 の 動 向 について 情 報 を 収 集 するとともに 必 要 に 応 じて 新 たな 対 策 を 導 入 しなければいけません 一 般 的 にはユーザや 組 織 が 独 力 で 完 全 な 対 処 を 行 うことはすでに 難 しく なっています このような 新 たな 攻 撃 方 法 に 関 する 動 向 や 注 意 喚 起 等 の 情 報 は JPCERT/CC の Web サイトを 通 じ て 得 ることもできます JPCERT/CC : https://www.jpcert.or.jp/ またメーリングリストや RSS を 利 用 すれば 最 新 の 情 報 をいち 早 く 受 け 取 ることができます ぜひ 活 用 を 検 討 して 下 さい - 27 -
Web を 利 用 する 際 は 本 文 書 で 述 べた 基 本 的 な 注 意 事 項 に 留 意 し また JVN や JPCERT/CC 等 の Web サイトを 利 用 して 集 めた 最 新 情 報 を 組 み 合 わせることで 危 険 を 避 けつつ Web を 活 用 しましょう 万 が 一 それでも 攻 撃 による 被 害 に 遭 ってしまった 場 合 は あわてずに 組 織 のシステム 管 理 者 に 連 絡 を とりましょう システム 管 理 者 の 方 は 被 害 の 状 況 に 応 じて あるいは 同 類 の 被 害 の 拡 大 を 防 ぐために 以 下 に 掲 げたような 関 係 機 関 組 織 に 連 絡 することを 検 討 しましょう 各 金 融 機 関 やサービスプロバイダ 等 の 問 い 合 わせ 窓 口 警 察 最 寄 りの 警 察 署 に 届 け 出 る 全 国 警 察 サイバー 犯 罪 相 談 窓 口 等 一 覧 : http://www.npa.go.jp/cyber/soudan.htm IPA ( 情 報 処 理 推 進 機 構 ) セキュリティセンター : 届 出 について : http://www.ipa.go.jp/security/todoke/ JPCERT/CC インシデント 報 告 の 届 出 : https://www.jpcert.or.jp/form/ - 28 -
IX. 参 考 資 料 Cyber Security Tips http://www.us-cert.gov/cas/tips/ 安 全 な Web サイト 利 用 の 鉄 則 http://www.rcis.aist.go.jp/special/websafety2007/ SPREAD セキュリティ 対 策 推 進 協 議 会 http://www.spread-j.org/index.html JPCERT/CC : 注 意 喚 起 & 緊 急 報 告 https://www.jpcert.or.jp/at/ JPCERT/CC : フィッシングに 関 する FAQ https://www.jpcert.or.jp/ir/faq.html 情 報 処 理 推 進 機 構 : セキュリティセンター http://www.ipa.go.jp/security/ Japan Vulnerability Notes https://jvn.jp/ マイクロソフト セキュリティ ホーム http://www.microsoft.com/japan/security/default.mspx Mozilla Japan : セキュリティセンター http://www.mozilla-japan.org/security/ アップル - サポート Safari http://www.apple.com/jp/support/safari/ 文 中 の 会 社 名 製 品 名 は 各 社 の 登 録 商 標 または 商 標 です - 29 -