ども。
大型連休前半で、すっかり風邪をひいた担当ちゅんです。
さて、ブラウザとして最大のシェアを誇る「Internet Explorer (IE)」ですが、ゼロデイ脆弱性が見つかったとのニュースが話題となっています。
そもそも、ゼロデイ脆弱性とは「脆弱性に対する修正が公表される前に、その脆弱性が公になってしまう」というもの。修正プログラムが配布されるまでの間、無防備な状態となり、この脆弱性を突いた攻撃を「ゼロデイアタック」と呼びます。
今回見つかった脆弱性の対象となるIEは、バージョン6から11まで。「ん?6から11?」一瞬目を疑いましたが、11というのは現在入手可能なIEとしては最新のバージョン。とても残念ですが、全てのバージョンのIEが危険ということになるのです。
※今回の脆弱性は、PCにログインするユーザーから「管理者権限」をはく奪すればある程度防ぐことができる(トレンドマイクロ社談)ようです。
また、当町ではマイクロソフトセキュリアドバイザリ2963983に記載されている複数の対策手法のうち、最もユーザに対して影響が少ないと思われる「VGX.DLLの登録を解除する」において既に対策を行いました。「空」を使ってバッチファイルを配信するだけです。
ゼロデイ脆弱性自体については、これまでも複数回同様の脆弱性は発見されています。しかし、今回ここまで大きなニュースとなった理由には「Windows XP」のサポートが終了してから、初めての大きな脆弱性であったからだと思っています。
Microsoftのサポートが受けられるバージョンのWindows・Internet Explorerであれば、修正プログラムの配布とともに脆弱性の穴は塞がれますが、XP・IE6(7)の場合は修正プログラムが一切配布されないため、その穴が残ったままになり、無防備な状況が続くということです。
いつかはこういう日が来るだろうとは思っていましたが、予想していたよりもずいぶんと早いなという印象を受けました。今回の脆弱性への対応のみを考えれば、IE以外のブラウザ(ChromeやFirefoxなど)を使うことでひとまずは回避が可能とは言われていますが、やはりサポートが終了したOSを使い続けることは大きなリスクとなるのだということを、改めて認識されされました。
おそらく、一番簡単な手法はこれだと思われます。
(投稿者:ちゅん)
