マイクロソフトのIEに現状解消できない脆弱性が見つかる。解決策は？

2014/04/29 2014/05/04

IEの脆弱性が見つかる。@livett1

インターネットを閲覧するために使用する日本シェア50%のブラウザ。
マイクロソフト社製のInternetExplorerを使われている方も多いかと思いますが、そのインターネットエクスプローラに2014/4/29現在解消できない脆弱性が発見されました。

今回発見されたIEの脆弱性は意外とヤバイ

発見されたIEの脆弱性概要

悪意のある細工をされたサイト・コンテンツを閲覧した時に閲覧者の意思とは関係なく任意のコードが実行される。というアプリケーションの脆弱性（不具合）が発見されました。

この脆弱性を悪用された場合は、アプリケーションが異常終了したり、悪意のある攻撃者によってパソコンを制御される事もあるようです。
また今回発見されたIEの脆弱性とFLASHの以前から知られていた脆弱性を組み合わせた攻撃だそうです。

詳細はマイクロソフト社のセキュリティアドバイザリをご確認ください。

マイクロソフトセキュリティアドバイザリ 2963983

https://technet.microsoft.com/library/security/2963983

マイクロソフトセキュリティアドバイザリ 2963983

対象のIEバージョンは？

対象のIEバージョンは以下となります。

Internet Explorer 6

Internet Explorer 7

Internet Explorer 8

Internet Explorer 9

Internet Explorer 10

Internet Explorer 11

はい。
2014/4/29現在でサポートされているInternet Exploreの全てのバージョンが対象となっています。

日本でのIE利用者は2014年3月の時点で50％でトップシェアなので、早めの対策が必要となります。

脆弱性解消の対策は？

現状、完全な解消対策というものがありません。マイクロソフト社によると現在調査中で完了次第、月例（毎月第二火曜日）のセキュリティアップデートもしくは定例外のセキュリティ更新プログラムを配布するようです。

解決策１

一番お手軽なのはIEを使用しない。という事です。
今はFirefoxやChromeなど使いやすいブラウザも出てきているため、IE以外のブラウザを使用するのが一番安全でしょう。

もしくはセキュリティ更新がなされるまでは他のブラウザを使用するのもいいでしょう。

解決策２

一番の解決策は脆弱性を解消するセキュリティプログラムをインストールする。

~~ただし現時点でマイクロソフト社からこの脆弱性を解消するプログラムは配布されていません。~~

~~完全な解消が出来ない現状でIEを使い続けたい方は、以下の回避策を実行する事をオススメします。~~

2014/5/2追記

更新プログラムが配布されました。windows updateでの更新をオススメします。

回避策

本脆弱性を根本的に解決する事は出来ませんが、先出のマイクロソフト社セキュリティアドバイザリでは６つの回避策が紹介されています。今回はマイクロソフト社からのセキュリティ更新後に設定を戻さなくてもよい回避方法を１つご紹介します。

Enhanced Mitigation Experience Toolkit 4.1 を使用する

Enhanced Mitigation Experience Toolkit (EMET)は、マイクロソフト社が正式にサポートしている脆弱性を保護する機能をもつソフトです。脆弱性の悪用を防止する事ができます。

注意点としては、Enhanced Mitigation Experience Toolkit (EMET)は英語版しか配布されていません。またEMET3.1バージョンでは緩和できないので導入する場合はEMET4.1を使用してください。

詳細はEnhanced Mitigation Experience Toolkitを参照してください。
http://support.microsoft.com/kb/2458544/ja

その他の回避法

その他のマイクロソフト社セキュリティアドバイザリで紹介されている５つの脆弱性を軽減させる回避法は以下です。

・インターネットおよびローカルイントラネットセキュリティゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブスクリプトをブロックする

・インターネットおよびイントラネットゾーンで、アクティブスクリプトの実行前にダイアログを表示するように Internet Explorer を構成する、または、アクティブスクリプトを無効にするよう構成する

・VGX.DLL の登録を解除する

・VGX.DLL に対するアクセス制御リスト (ACL) の制限を強化する

・[拡張保護モードを有効にする] (Internet Explorer 11 の場合) と [拡張保護モードで 64 ビットプロセッサを有効にする]

以上５点ですが、いずれも今と同じような状態にするためにはセキュリティ更新後に設定を戻す必要がでてきます。先出の詳細はマイクロソフト社のセキュリティアドバイザリをご確認ください。

マイクロソフトセキュリティアドバイザリ 2963983

https://technet.microsoft.com/library/security/2963983

マイクロソフトセキュリティアドバイザリ 2963983

ウイルスソフトやファイヤーウォールを導入する

またウイルスソフトやファイヤーウォールなどを設定し、全てのソフトウェアの更新を実施しデータを最新に保つことも推奨されています。セキュリティソフトは常に起動している状態となるため、ESETのような出来るだけ軽いソフトを使われた方が良いです。またこのセキュリティソフトはamazonのソフトウェア部門で第一位（2014/4/29現在）となっているほど人気のソフトです。

ESET Smart Security （ ESETセキュリティソフト） | 「軽さ」×「強さ」×「満足度」No.1 ウイルス対策ソフト

http://www.eset-smart-security.jp/

ESET Smart Security （ ESETセキュリティソフト） | 「軽さ」×「強さ」×「満足度」No.1 ウイルス対策ソフト

まとめ

windowsXPのサポート終了でメーカーのセキュリティーに対する考え方が話題となっていますが、一番は自分の身は自分で守るということ。twitterにお馬鹿写真を投稿して炎上する。なんてものはあまりにも無知すぎます。

インターネットを使う以上、最低限の知識を身につけてスグそばにある危険から回避できるようになりましょう。

- PC・web

『Amazonで星４つ』以上のおすすめ商品

: 『ESET ファミリーセキュリティ 2014 3年版』

PC、スマートフォンなど合計で5台分の利用ができるセキュリティソフトである。 familyと商品名にはあるが、与えられたライセンスは家族でも友人知人間でも分けてよい商品になっている。ただし、1アカウント5ライセンスは、マスターとなる登録がスタートしてから1年（または3年）の使用期限になる。（続く：※引用）

: 『ノートンセキュリティ優待版(最新版日本語・正規)』

ここ数年、自分の環境ではかなり安定して使えています。パスワードマネージャーも重宝しています。ただ、今回のバージョンから５PC版、１０PC版のパッケージがなくなりました。今はまだ５PC版のみ2013年版が購入できますが、Amazon価格も定価販売になってしまいました。（続く：※引用）

: 『トレンドマイクロウイルスバスタークラウド 3年版(最新版)』

オフィシャルではキャンペーンで3か月延長が付いても、11800円（1月302円）。 AmazonではDL版で8878円（1月246円）ですので、断然お得かと！（続く：※引用）

: 『カスペルスキー 2014 マルチプラットフォームセキュリティ 3年プライベート版』

本来1万円以上するところの商品が、キャンペーンで15%OFFになっていて、更に2千円OFF対象だったので、即購入しました。 7千円弱でタブレット等も含めて10台まで使えて、3年間もサポートがあると考えると、コストパフォーマンスは相当なものだと思います。（続く：※引用）