「インターネット エクスプローラを使うな」ってどういうこと? | マルチニーズシステムのブログ

マルチニーズシステムのブログ

ソフトウェア開発、ホームページ制作、iPhone修理、小物雑貨販売のマルチーズシステムのブログです。
TEL:050-3692-8348
http://www.multeeds.com

「え? ワタシも対象?」──全世界のインターネットユーザーが震えた。
 米国国土安全保障省(DHS)傘下でサイバーセキュリティに関する調査を行うUS-CERTが4月28日(米国時間)、マイクロソフトのWebブラウザ「Internet Explorer(インターネット エクスプローラ/IE)」のバージョン6から同11(現最新版)に存在するセキュリティ脆弱(ぜいじゃく)性について報告。「該当する製品を利用しているユーザーに対して対応策を講じる」よう、緊急の注意喚起を行ったためだ。

Internet Explorerは、Windows搭載PCのほぼすべてにインストールされ、多くの人が使うWebブラウザ(インターネットのWebサイト表示のためのソフトウェア)だ。PCで利用するデスクトップブラウザのシェアは約60%(調査会社 Net Applications調べ)。2位のGoogle Chrome(約17%)を大きく離しており、それだけ実利用者は膨大だ。例えば前述した「Chromeって何?」と思った一般PC利用者やオフィスユーザーの大半は、Internet Explorerの利用者と思われる。

 今回の問題は、2014年4月にサポートを終了したWindows XP時代にリリースされたバージョン6から、Windows 8.1にインストールされる最新版のバージョン11までが対象、つまり、現在稼働する「ほぼすべてのIE」に当てはまることが全世界的な騒動となった理由の1つだ。

 このため、一部メディアでは「インターネット エクスプローラを使うな。ハッカー攻撃の危険」と危険性をあおる報道も見受けられる。が、こうした攻撃自体はこれまで過去にも散見されるもので、適切な対応を都度とっていたならば大きな問題に発展する可能性は低い。

 ただ、今回は対象となる製品(バージョン)に、つい最近、2014年4月9日(日本時間)にサポートを終えたばかりの「Windows XPとInternet Explorer 6」が含まれていた。「ほら出たか。どうするんだ」とばかりに、Microsoftやユーザーが「サポートがすでに終了したOSと今後どう向き合っていくか」の試金石になるとして大きな注目を集めたともいえる。

 続いて、米国国土安全保障省が警告した内容の意味をきちんと理解しよう。

●全ユーザーに「使うな」──と警告したわけではない

 問題の脆弱性は「Internet Explorerの“Use After Free”脆弱性に関するガイダンス」という名称でUS-CERTのWebサイトに短い文章が公開されている(関連リンク・英文)。内容は、Internet Explorer(IE) 6~11までのバージョンすべてに存在する問題で、一種のプログラム上の不具合を突き、攻撃者が外部から悪意ある別のプログラムを実行できることが分かったので注意せよ、というものだ。

 具体的には、攻撃者が設置した悪意のあるプログラムを置いたWebページへユーザーが知らずにIEでアクセスすると、悪意あるプログラムにより個人情報を抜き取られる、あるいは自身のコンピュータが攻撃の踏み台に利用されるといった可能性がある。

●「ゼロデイ攻撃」に注意 ユーザーはどう対策するべきか

 「対策を行っていないため、すぐに自身のマシンが攻撃される」というわけではない。ただ、この脆弱(ぜいじゃく)性が悪い意味でも周知されてしまったことも事実。すぐさま悪意あるプログラムをWebサイトに仕掛けた攻撃者も相当数いるとみられ、当然ながら注意は必要だ。この意味で、インターネットを使うなとは言えないまでも、IE以外の他のブラウザを使うことはリスク回避の有効な手段になる。

 Microsoftが対応アップデートの提供をはじめるまで、1~2週間ほどのタイムラグがあると予測される。不用意に怪しげなサイトにアクセスしたりせず、Microsoftが提示する一時的な対策を行ったり、あるいはIE以外のブラウザを利用するなど、必要最低限の対策はしておくべきだ。メールやSNSのWebリンクなどは不用意に踏んでしまいがちなので特に注意したい。

 なお、このような形でコンピュータやソフトウェアの脆弱性が明らかになってから、実際に対策が行われるまでのわずかな時間を狙って攻撃する手法のことを「ゼロデイ攻撃(Zero Day Attack)」などと呼ばれている。Microsoftは「次の3つの対策」を行うことを推奨している。あくまでも攻撃に対する緩衝となるだけだが、対策をとる姿勢こそが大事だ。

・Webブラウザのセキュリティ設定を強化する

 IEの「ツール」→「インターネットオプション」より、セキュリティゾーン設定をすべて「高」にする。ただしWebサイトの機能を一部無効にしてしまうため、普段の利用には向かなくなる。

 64ビット版のWindows上でIE10またはIE11を利用するユーザーは「拡張保護モード」を使うことで直接攻撃を防げる。設定方法は同じく「インターネットオプション」→「セキュリティ」タブにある「拡張保護モードを有効にする」と「拡張保護モードで64ビットプロセッサを有効にする」にチェックを入れる(後者はIE11のみで出現する)。設定後、再起動することを忘れないように。

・セキュリティ対策ツール(EMET)を利用する

 攻撃者にマシンへのアクセス権が取得されるのを防ぐべく開発された、Microsoft謹製の脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit(EMET)」がある。

 表示言語は英語のみだが、誰でも無料で利用できる。インストール後は一部アプリケーションの機能が制限されることになるため、企業などでIEをベースに稼働する業務システムを使っている場合は不具合が出る可能性がある。こちらは注意してほしい。

・問題となっている一部プログラムをIEから切り離す

 脆弱性の原因となっているのは、IEで使われている「vgx.dll」というプログラムである。これの利用を解除することで直接攻撃を防げる。ただし、このプログラムはWebブラウザにおける描画処理の一部を担っているので、Webページによっては表示に不具合が出る可能性がある(また、解除/復旧の手順が難しいので、一般的にはお勧めできない)。

 筆者としては、緊急対策として「Webブラウザのセキュリティ設定を強化する」の方法を勧めたい。残り2つの対策は一般ユーザーにはやや難しい。

やはり、他社のWebブラウザを使うのが手軽かもしれない。他社のWebブラウザには、
・Google Chrome
・Firefox
・Opera
といった選択肢がある。

 「業務ツールとしてIEを利用しなければならない」というビジネス層には厳しいが、どう対処するかについて、たいていの場合は社内のIT担当者よりすでに告知されていると思うのでそちらに従ってほしい。

 Windows Vista/7/8(8.1)ユーザーには、しばらく待てばMicrosoftが対策アップデートを提供してくれるはず。前述した「ゼロデイ攻撃」に気をつけて、最低限の防御さえ怠らなければ、被害のほとんどは防ぐことが可能だろう。

[鈴木淳也(Junya Suzuki),Business Media 誠]