マイクロソフト「IE」、残された教訓と課題 修正パッチ配布だが、暗黒面との戦いは続く
米国時間の5月1日(日本時間の2日)、米マイクロソフトは、米国時間の4月26日(日本語での報告は28日)に公開していたInternet Explorer 6~11のセキュリティホール(安全性に関する問題点)を修正するためのパッチ「Internet Explorer 用のセキュリティ更新プログラム」を明らかにした。
マイクロソフトはこのページで更新プログラムを配布するほか、Windows Updateでも対策プログラムを配布する。今回の対策プログラムは、4月9日のサポート終了後もいまだ利用者が多いことを理由に、特例としてWindows XPユーザーに対しても提供されている。
コントロールパネルのWindows Updateで更新プログラムを確認。「Windows 8.1 for x64-based Systems 用 Internet Explorer 11 のセキュリティ更新プログラム」(ウィンドウズのバージョンや"x64"は利用しているコンピュータによって異なる場合もある)が更新リストにあることを確認した上で更新を行うだけで済む。あるいは上記のリンクから単独の更新プログラムで修正することもできる。
マイクロソフトが情報提供用に解説しているブログ「日本のセキュリティチーム」のページでも、今回の対策やこのセキュリティホールを利用した攻撃が拡大していないことなどを伝えている。詳しい対応方法はこのブログがもっとも詳しい。また、前回の記事でも指摘したように、VGX.DLLというファイルを無効にすることで対策を施していたユーザーは、このファイル(アプリケーションプログラムが使用するコード集)をWindowsに登録し直す必要があるので注意しなければならない。
ゼロディアタックは他のブラウザにも
マイクロソフトのブログでも指摘されているが、今回の問題は他の「ゼロデイアタック」の事例と比較し、必要以上に大きな事件として伝わった面がある。しかし実際の攻撃が確認されていること、稼働しているほぼ全てのIEバージョンに影響すること、それらすべてのバージョンを合計すると6割に上るユーザーに影響があること、IEをブラウザエンジンとして利用しているアプリケーションも少なくないこと、IEを推奨ブラウザ(あるいは専用ブラウザ)として指定するアプリケーションがいまだに多いこと、社内アプリケーション開発でIEのみを対象としている企業が少なくないこと――など、実に多くの要因が重なったことで、世界中に不安が拡大したといえる。今回の騒動を機にユーザー者側も、ゼロデイアタックに対する理解を深めるきっかけにするべきだろう。
どのようなプログラムも完璧ではなく、ゼロデイアタックと言われる未発見のセキュリティホールを利用した攻撃は、あらゆるウェブブラウザを通じて行われている。今回、緊急避難的にIEの使用中止の呼びかけが拡がったが、では避難先のChromeやFirefoxがIEよりも安全かと言えばそうではない。
ログインはこちら