IE脆弱性の"緩和策"と、ユーザへの正しい伝え方を考える

先日、XPのサポート終了についての記事を書かせていただきました。

そんな矢先、Internet Explorer(以下、IE)のゼロデイ攻撃、脆弱性が発見、公表されました。

Microsoft社の発表によると、影響範囲としては

• IE 6
• IE 7
• IE 8
• IE 9
• IE 10
• IE 11

となり、もちろん、Windows XPも影響範囲として該当しています。

ちなみにゼロデイ攻撃とは、特定の脆弱に関して広く公表され、対応策が講じられる前にその脆弱性を利用する攻撃のことを指します。

セキュリティ更新プログラムが提供された日を1日目と考え、それ以前という意味でゼロデイと呼ばれています。

当然、攻撃が発生していることからこの脆弱性に対する修正はいずれ行われるわけですが、サポートが終了したXPに関しては、そういうわけにはいきません。

(もしかすると、Microsoft社によって特別にXP向けのセキュリティ更新プログラムが提供される可能性はゼロではありませんが、その保証はありません。もしかしたら、攻撃する側は以前から脆弱性情報を持っていてサポート終了のタイミングを待って攻撃してきたのかもしれません。自分が攻撃を行う側であればそのほうが得策であると誰しもが考えるでしょう。)

つまり、Windows XPにとっては「永遠の0デイ」となる可能性が出てきたわけです。まさに、不治の病の発覚とも言えます。

今回のゼロデイはかなり広範囲に影響するためWindows XPのみが影響を受けるわけではありません。TechNetのSecurity TechCenterで影響を受けるOSなどの詳細な情報を見ることができるので確認してください。(上記ページでは、Windows XPは掲載れていません。これはWinsows XPのサポートが終了しているためで、影響を受けないという意味ではありません。)

セキュリティ更新プログラムがリリースされていない場合、影響を受ける環境では抜本的な解決策を講じることはできず、「緩和策」を講じることになります。本稿では、その「緩和策」について紹介していきたいと思います。

著者プロフィール

辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。

また、アノニマスの一面からみ見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。

Twitter: @ntsuji

今回も「緩和策」は各所から発表されています。

例えば、Microsoft社の「日本のセキュリティチーム」からは以下のような回避策が紹介されています。

• EMETを導入する
• Vector Markup Language(VML)を無効化する
• 拡張保護モードを有効にする

こちらの詳細については先程紹介した日本のセキュリティチームのWebサイトをご確認ください。

これらの方法は、セキュリティ更新プログラムがリリースされるまでも、されてからも有効な対策が含まれていると筆者も思います。

しかし、詳しくない方の中には少々ハードルが高く感じられる方もいらっしゃるのではないでしょうか。そこで、以下では、前述した対策を講じることができない場合の「緩和策」のお話をしたいと思います。

それはIEのゼロデイ脆弱性が発見、公表される度に言われてきたもので、ある種手垢にまみれたものなのですが、今回の問題で米国土安全保障省もMicrosoft社が示した緩和策を実施できない場合には考慮してほしいと示した方法です。

その方法とは、「IE以外のブラウザを利用する」です。これには賛否両論あるかもしれませんが、筆者もこの対策は分かり易く有効性のあるものだと考えています。というのも、Microsoft社が提示した緩和策を何かしらの理由で実施できない場合にも「何もしない」ということを避けることができ、一定の効果があると考えるからです。実際、国内でも採用している組織は多いのではないでしょうか。

さて、この対策、IEに脆弱性があるのだから、それを使わないようにする。強い言い方をすると「IE使用禁止!」というのは、前述した通り有効性のある対策であるとは言えます。しかし、この言葉はシンプルなだけに、言葉だけが一人歩きし、本質を見失う場合もあるのではないかと筆者は考えています。その一人歩きのケースとそれに対する筆者の意見をここで2つほど述べさせていただきたいと思います。

CASE 1 : とにかく「IE禁止! その他のブラウザを使うように!」とだけお達しが出た場合

IEしか使っていなかった人はどうやって他のブラウザをダウンロード、インストールするのでしょうか。いきなり、"詰んで"しまいます。

大抵の場合、まず、IEで他のブラウザをダウンロードする必要があるはずです。また、組織内のシステム(例えば、出退勤や各種申請など)ではIEを使わざるをえないシステムも多くあります。

この状況で、「とにかく禁止!」としてしまっては混乱を招くだけです。

ゼロデイであるが故に、焦り、急ぎたい気持ちは分かりますが、これはいいけど、これはダメという説明をきちんとすることが必要だと思います。

「IEの利用は原則禁止とし、他のブラウザを利用するようにしてください。また、社内システムにおいてIEのみでしか動作しないシステムがありますので、そちらはIEの利用を行ってください。」といった注意喚起をするのがよいのではないでしょうか。

また、IE以外のその他のブラウザのダウンロードをユーザに任せてしまうことでブラウザと一緒に余計なものが入ってきてしまう可能性があります。勝手に入力した情報を外部に送信するようなものや、ブラウザのスタートページを勝手に変更するようなものなどなど。

したがって、このようなお達しを出す場合には、推奨するブラウザをダウンロードするURLやファイルそのものを社内で共有するなどが更に良い方法だと思います。

「個々人でやってください」としたばっかりに余計なものがインストールされてしまい、その結果、別のリスクを招き入れ、脆弱性への対処が別の脆弱性を生むこととなり、お達しを出す方々の仕事が増えるという結果になりかねません。

CASE 2 : 攻撃の経路がIEによるユーザによるブラウジングのみと想定されている場合

脆弱性を利用する攻撃はユーザ自身によるブラウジングのみとは限りません。

ブラウジングと並びポピュラーな経路としてはメールが挙げられます。

Microsoft社のセキュリティアドバイザリには以下のような文言があります。

既定で、すべてのサポートされているバージョンのMicrosoft Outlook、Microsoft Outlook ExpressおよびWindowsメールは、HTML形式の電子メールメッセージを制限付きサイト ゾーンで開きます。制限付きサイト ゾーンはスクリプトおよびActiveXコントロールを無効にし、この脆弱性を悪用して悪意のあるコードを実行しようとする攻撃のリスクを排除するのに役立ちます。しかし、ユーザーが電子メール メッセージのリンクをクリックすると、Webベースの攻撃のシナリオで悪用された脆弱性の影響を受ける可能性があります。

平たく言うと、「Microsoft Outlook、Microsoft Outlook Expressで攻撃を行うようなHTMLメールを受信したとしても攻撃は排除されます。」と、言っています。

しかし、大切なのは最後の一行です。電子メール内のリンクをクリックしてしまった場合はその限りではない、ということが書かれています。

IE以外のその他のブラウザを利用していたとしても、既定のブラウザをIEのままにしていると、電子メール中のリンクをクリックした際にそのアドレスをIEで開いてしまうことになります。これが脆弱性を利用するサイトだったとしたら……あとは言うまでもないですね。こちらを合わせて設定変更するように促さなければ、折角の対策が「頭隠して尻隠さず」といった結果を生んでしまう可能性があります。

最後に

このような話題が出たときに必ず出てくる言葉があります。

「IEなんか使わなければいいじゃないか。」

OSと一緒に入っているだけあって狙われることも多く、脆弱性が発見されるとメディアでも取り上げられ、目立つことが多いと思います。

しかし、IE以外のその他のブラウザに脆弱性がないのかというと、決してそういうわけではないことを忘れてはいけません。

もし、そう考えていらっしゃる方は、例えば以下をご覧になることをお勧めします。

• Mozilla Foundation セキュリティアドバイザリ : http://www.mozilla-japan.org/security/announce/
• Chrome Releases : http://googlechromereleases.blogspot.jp/

どんなソフトウェアでも様々なバグやセキュリティホールがあり、修正を繰り返しているということを垣間見ることができるかと思います。

やはり、「これだけで安全!」という"銀の弾丸"はこの世には存在しないのだと筆者は考えています。もちろん、新しくブラウザを追加してもそちらのセキュリティ更新についても気を配ってください。安全の為に導入したものがその後、新たな脆弱性となってしまっては元も子もありませんから。

また、このタイミングを、IE以外のブラウザをインストールするだけではなく、自身が使っているソフトウェアやそれに付随するJavaやFlashのようなプラグインなどについてどのような情報がどこで発信されているのか、自身が使っているソフトウェアはアップデートする必要があるのかないのか、などを併せて確認する機会としてみてはいかがでしょうか

5月２日追記

Microsoft社より今回取り上げたIEのゼロデイ脆弱性のセキュリティ更新プログラムがリリースされました。今回は特別にサポートが終了したWindows XPも対象となったようです。

このセキュリティ更新プログラムを適用する際には1つ注意点があるようです。マイクロソフト セキュリティ アドバイザリ 2963983で挙げられていた回避策である「VGX.DLL に対するアクセス制御リスト」を実施している場合は、更新プログラムのページにある「更新プログラムに関する FAQ」の「マイクロソフト セキュリティ アドバイザリ 2963983で説明されている回避策を適用した場合、この更新プログラムを適用する前に回避策を解除する必要がありますか?」を参考に「VGX.DLL に対するアクセス制御リスト」を解除してから更新プログラムの提供を行うようにしてください。

今回のWindows XPに対するセキュリティ更新プログラムは特別の対応です。今後、今回のような対応をしていただけるとは限りません。また、Windows XPそのものだけではなく、現在インストールされているソフトウェア、プラグインもいずれは他のOSに比べ早くサポートが終了してしまいます。一日も早く、OSをアップグレードする必要があるという状況であるということに変わりないことは忘れてはいけません。

- マイクロソフト セキュリティ情報 MS14-021 - 緊急 - technet.microsoft.com