マイクロソフト｢IE｣の脆弱性に世界震撼 利用シェア60％の閲覧ソフトが直面した危機

4月2日、開発者向け会議では「インターネット・エクスプローラーはマルチデバイスに対応できる点が強み」との説明があった

"インターネットへの入り口"が大きく揺れている。米マイクロソフト社製ウェブブラウザInternet Explorer（IE）に発覚したセキュリティホール（安全性に関する脆弱性の問題）が波紋を拡げているのだ。

同社は米国時間の4月26日(日本語では28日）、「Internet Explorer の脆弱性により、リモートでコードが実行される」というセキュリティ警告を発表。このセキュリティホールを利用すると、第三者がIEでアクセスしたコンピュータ上でプログラムコードを動かしたり、意図しないウェブコンテンツへと誘導することが可能になる。IEのバージョン6以降、最新版のバージョン11まで、すなわち現在稼働している、ほぼ全てのIEで確認されている。

米国土安全保障省（DHS）のコンピュータ緊急対応チームは、今回の問題がコンピュータ内の使用済みメモリ領域を自由に使えてしまうなどの問題、IE6～11への攻撃などを確認した上で、「代替策として有効な対応策がマイクロソフトから発表されるまでは、IE以外の代替ブラウザを使用することを推奨する」と発表した（詳細はここをクリック）。

DHSのアドバイスにあるように、もっとも有効かつ確実な対応策は、IE以外のブラウザを使用すること。グーグルのChrome、モジラファウンデーションのFirefox、オペラソフトウェアのOperaなどが代表的な例だ。しかし、一部のブラウザソフトは独自のユーザーインターフェイスを提供するだけで、実際のブラウザアクセスにはIEを用いている場合もあるので、注意が必要だ。アプリケーション内から自動的にIEを呼び出している例もあるので、チェックしなければならない。

最善の方法は、IEを使わないこと。しかし、現実問題としてIEでしか正常に動作しないアプリケーションを抱えている企業も多いはずだ。そこで、代替ブラウザが活用できる範囲、かつイントラネットではなく外部へ接続を行う場合には、可能な限り代替のブラウザを使う、というのが現実解だ。IEを使用する場合には、問題に対応したIEを出荷するまでに有効な緊急対応策を、マイクロソフト自身が発表している。

IEを使い続けるためには

ではIEを使い続けるためには、どうすればいいか。

もっとも推奨したいのは、EMET(Enhanced Mitigation Experience Toolkit)4.1のインストールである。EMETは未知の脆弱性を含め、インターネットアクセスに伴う危険性を緩和するためのツールだ。EMETは現時点で英語版しか用意されていないが、日本語環境でも問題なく使用できる。EMETの日本語関連情報、ダウンロード方法などはここにまとめられている。

EMETはIEを通じた攻撃を直接防ぐのではなく、攻撃によって生じる”任意のプログラムコードの実行”を妨げる緩和ツールだ。したがって、EMETをインストールすることで動かなくなるアプリケーションが出てくる可能性もあるが、一般的なアプリケーションの動作範囲ではほとんどは問題にならない。

もしEMETで必要なアプリケーションが動作しない場合は、次にマイクロソフトが推奨しているセキュリティ設定の変更で対応することもできる。なお、EMETのインストールは推奨設定のままで今回の脆弱性を防ぐことは可能で、他の作業は必要ない。上記のDHSコンピュータ緊急対応チームでも、このツールのインストールを推奨している。