IE6~IE11の脆弱性(セキュリティ欠陥)。悪意のあるサイトを閲覧で重大なリスク!2014年

マイクロソフトのインターネットエクスプローラー(Internet Explorer、IE)」で見つかったセキュリティ上の欠陥により、ハッカーが侵入する可能性。

アメリカのサイバーセキュリティ監視機関(コンピューター緊急対応チーム)は、IE6~IE11(最新ブラウザ)で、ハッカーが侵入する可能性があるとしてユーザーらに使用しないよう警告。IE11は、マイクロソフト社の最新バージョンのブラウザです。

<5/2情報追記>

IEの脆弱性について、修正プログラムの配布がまもなく開始される。今回のみXPにも対応されるようです。

http://www.nikkei.com/article/DGXNASGN0201U_S4A500C1000000/

<5/1情報追記>

今回のIE脆弱性に暫定的に対処する方法がいくつか明示されています。

  • マイクロソフトの提供するEMET(Enhanced Mitigation Experience Toolkit)4.1のインストール
  • フラッシュプラグインの一時削除(MSの修正プログラム適用まではフラッシュを見れなくする。)

上記のうちEMSTは、未知の脆弱性を含め、インターネットアクセスに伴う危険性を緩和するためのツールです。(マイクロソフト提供)

EMETをダウンロードするージ(マイクロソフト内):http://technet.microsoft.com/ja-jp/security/jj653751

※EMETは現時点で英語版しか用意されていないが、日本語環境でも問題なく使用できる。EMETを分かりやすく解説したページは、http://www.teguchi.info/it/1668/

上記の他に応急的には、IEのセキュリティ設定を「高」にすることで、ActiveXコントロールおよびJavaScriptの動作を抑制することでも対応が可能。[インターネット オプション] -[セキュリティ] タブで設定する 。

またMS修正プログラムが公開され適用するまでは、特に海外サイト、不審なリンク先等をクリックしないなどで、リスクは低減されると思います。

マイクロソフトの公式発表は、こちらからhttps://technet.microsoft.com/ja-jp/library/security/2963983

どのようなセキュリティー欠陥か?

ブラウザIE(インターネットエクスプローラ)のすべてのバージョンで、悪意のある細工が埋め込まれたWEBサイト(ホームページ)を閲覧することで、仕掛けられた命令が実行される。この場合、悪用されればアプリケーションが異常終了したり、ハッカー(攻撃者)にパソコンを制御されたりする可能性。ハッキングされた場合、そのコンピューターの正当な使用者と同一の権限でパソコンを操作され、個人情報の漏えいなど、さまざまな危険性が予想されます。

マイクロソフトのIEは、もっとも広く利用されているブラウザであり、windows7、windows8なども含めて、IEの利用者すべてが今回の対象になります。またセキュリティソフトでは、回避できない脆弱性です。

Internet Explorer の脆弱性対策

Internet Explorer の脆弱性対策(クリックで拡大)

今回のセキュリティー欠陥は、IEの最新バージョンであるIE11においても危険性があります。

平成26年4月28日現在の状況

4月28日現在において、この脆弱性を悪用した攻撃が確認されているとの情報。現時点で、Microsoft 社から本脆弱性を解消する修正プログラムが提供されていません。またIE8までのバージョンは、windowsXPのサポート終了に伴い、今後においてもセキュリティ修正プログラムの提供はありません。

このセキュリティ欠陥を回避する対策

  1. マイクロソフトの修正プログラムが提供され、同プログラムを適用するまでは、Google Chrome (グーグルクローム)、Firefox(ファイアフォックス)などの他のブラウザを利用して、WEBサイトを閲覧する。修正プログラムが適用されるまでIEを使わないこと。
  2. Enhanced Mitigation Experience Toolkit (EMET) 4.1 を使用する。EMET 4.1 は、ソフトウェアの脆弱性が悪用されるのを防止するために Microsoft 社が提供しているツールです。  導入する際には、次のページを参考にしてください。
    http://support.microsoft.com/kb/2458544/ja
  3. VGX.DLL を無効にする。以下のコマンドを実行して、本脆弱性に関連する VGX.DLL の登録を無効にします。これにより VML (Vector Markup Language) によるベクター画像が描画されなくなります。
  4. その他の回避柵は、マイクロソフト セキュリティ アドバイザリ 2963983を参照。http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

現時点で、もっとも簡単な回避策は、上記1の修正プログラムが適用されるまでIEを使用せず、他のブラウザを利用すること。またこれらの攻撃はFlash経由であることが確認されているため、IEのFlashプラグインを無効にすることが有効な対策であると明らかにしています。

MSの修正プログラムが配布されたら、速やかに適用が必要です。

IE以外の主なブラウザ

ブラウザのインストールは、下記を参考にしてください。

このセキュリティ欠陥に関する詳細な情報は、下記サイト(リンク先)をご参照ください。