Microsoftは、ウェブブラウザにサイドロードされた悪意のある拡張機能からユーザーを保護する新しいEdgeのセキュリティ機能を導入する予定です。
Edgeでは、開発者が拡張機能を公開前にローカルでインストール(サイドロードとも呼ばれる)してテストすることができます。これは、拡張機能管理ページで「開発者モード」オプションをオンにし、「パッケージ化されていない拡張機能を読み込む」ボタンをクリックすることで行えます。その後、Microsoft Edge アドオンストアに公開できます。
しかし、ユーザーは公式チャネルを通じて配布されておらず、マルウェアスキャンもされていないサードパーティ製拡張機能をサイドロードすることも可能です。
ユーザーは拡張機能管理タブで拡張機能カードの「削除」リンクをクリックすることで危険な拡張機能を削除できますが、攻撃者がユーザーを騙してインストールさせた場合、たいていは手遅れです。近年、数十万人に影響を与えた攻撃や、公式アドオンストアにホストされた悪意のある拡張機能を強制インストールする攻撃が発生しています。
しかし、Redmond(Microsoft)は木曜日、Microsoft 365のロードマップで「Microsoft Edgeは悪意のあるサイドロード拡張機能を検出し、無効化します」と明らかにしました。
同社はこれらの危険な拡張機能をどのように特定するかについて詳細を明かしていませんが、新しいセキュリティ機能は世界中の標準的なマルチテナント環境向けに11月にリリースされる予定です。
ここ数か月、Microsoftは「Edge拡張機能開発者向け公開API」を更新し、開発者アカウントやブラウザ拡張機能の更新プロセスのセキュリティを強化しています。また、Edgeのパフォーマンスに悪影響を与える拡張機能についてユーザーに警告する新機能のテストも開始しました。
2月には、Edgeウェブブラウザ向けにAI搭載のスケアウェアブロッカーも導入しました。これは機械学習(ML)を活用し、ローカルの機械学習モデルを使ってテクニカルサポート詐欺の兆候をリアルタイムで検出します。
今月、MicrosoftはMicrosoft EdgeでHTTPS-Firstモードの展開を開始しました。これにより、可能な場合はHTTP接続が自動的にHTTPSへアップグレードされます。さらに、8月にリリースされたEdge v140以降、ウェブブラウザはスリーピングタブを自動的に破棄してメモリを節約します。
