マカフィーはこのほど、ブログでWindows 8 Metroにおけるセキュリティリスクについての見解を示した。これによると、Windows 8 Metroにおいて詐欺被害を防ぐには必ず認証情報を入力する前にアドレスバーを表示させることが重要だという。
同社によると、Windows 8は新しいコンポーネントおよびプロセスの変更、特にMetroインタフェースにより、攻撃対象領域はWindows 7よりも広がっているが、この領域を相殺する厳しいチェックや対策も組み込まれているという。
Metroは、タイルのようなデザインのUIでタッチスクリーンと従来のキーボード/マウスのインタフェースの両方をサポートしており、スタート画面はユニークな「動くタイル(Live Tiles)」が表示され、すぐにアプリケ―ションを更新できるよう、常に最新の情報が提供される。
Windows 8に関して、企業環境における重大な変更点として、オフィシャルにはMetroを無効にする手段がないこと、新たなインタフェースが没入型のユーザー操作に的を絞っていることが挙げられている。これは、タスクバーやアプリケーションメニューといったOSの標準のものが、もはや表示されなくなるということを意味し、ユーザーがアプリケーションを開くと、画面いっぱいに表示され、これまでよりはるかに広いスペースを取ってその操作に没入できるということになる。
もう1つの大きな変更として、Metroとデスクトップの両方でInternet Explorer 10が利用可能になったことがある。Metroでは、IEは没入モードで動作し、フルスクリーンでページが表示され、URLバーも隠されている。
同社は、この没入型のインタフェースで詐欺被害に遭わないようにするために、必ず認証情報を入力する前にアドレスバーを表示させなければならないとアドバイスしている。
Metroで表示されたフィッシングサイトと正規のサイトを比較すると、その違いはわかりづらいという。しかし、アドレスバーを表示させて両サイトを比較してみると、どちらが正規のサイトかがわかりやすく、正しいWebサイトにはアドレスバーがグリーンで表示されてSSLで暗号化された安全な接続であることを示す鍵のアイコンがあり、偽サイトはpaypal.comやpaypal.deがホストとなっておらず、PayPalではないサブドメインであることがわかる。
MetroにおけるIE 10利用に関して、マイクロソフトはAdobe Systemsの協力でFlash Playerの限定バージョンを導入することで、Flashの機能の多くを削除してタッチジェスチャーのサポートを追加し、より使いやすくなる。しかし、マカフィーはこの点について、「これはある意味、巧妙な釣りともいえ、Metroでは、マイクロソフトが選んだ特定のサイト群でしかFlashのサポートは有効にならず、すべてのサイトでFlashが機能するわけではない」と指摘している。
IE 10には、HTML5やWebSocket、クロスドメインメッセージング、postMessage、JavaScriptアプリケーションにおけるWeb Workersのサポートなど、数多くの新機能が追加されているが、これらが新たに攻撃可能な領域を作ってしまう可能性があるという。