日々のコンピュータ情報の集積と整理

Dr.ウーパのコンピュータ備忘録

2014年4月30日水曜日

IE脆弱性問題を通して複数のブラウザを使用することのメリットを考える

Internet Explorer(IE) で見つかった脆弱性により、米国土安全保障省コンピューター緊急対応チームは脆弱性が修正されるまで IE を使わないように警告しているようです。




IEに脆弱性、「代替ソフト使用を」 米国土安全保障省 写真1枚 国際ニュース:AFPBB News
http://www.afpbb.com/articles/-/3013810


この脆弱性を悪用されると、自分の環境で攻撃者が用意した任意のコードを実行されてしまうようです。

いろいろと情報を調べていると、今回の脆弱性はフラッシュファイル(SWF)を利用して、IEのバグを発生させているようです。したがって、IEを使用していて、かつIEでフラッシュが有効になっている場合、今回の攻撃を受けてしまうようです。(*1)


ブラウザのように第三者のウェブサーバにアクセスしてデータを取得して、解析するようなソフトウェアの場合、外部からアクセスできないように保護されているネットワーク内に居ても、自ら危険なデータを取りに行ってしまうことになるため、脆弱性が発見されていて、その脆弱性が未修整のブラウザを使用しているのは非常に危険です。

ブラウザというソフトウェアは、

  • 不特定多数が管理するウェブサーバにアクセス
  • 様々な種類のファイルに対応
  • ユーザの環境でファイルを解析
  • そのコンテンツをユーザ自身が操作
  • 使用頻度が高い
  • パソコンに詳しい人から詳しくない人まであらゆる人が使用する
  • 機密性の高い情報(銀行口座や個人情報など)を扱う


といった特性があり、ネットワークの恩恵を最大限に受けられるソフトウェアであると同時に、ネットワークの脅威を最大限に受けるソフトウェアでもあります。)


従って、今IEを使用している人は、脆弱性の修正が完了するまで、他のブラウザを使用してインターネット上のページをブラウジングする必要があります。


今回のようにブラウザに脆弱性が発見されるのは、IEに限った話ではなく、他のブラウザでも同様に脆弱性が潜んでいるのが一般的です。

そのため、脆弱性が発見されてそのブラウザが一時的に使えなくなった時のために、パソコンに複数のブラウザをインストールして、いつでも使える状態にしておくと、脆弱性発見時にブラウザをインストール手間が省けて、面倒なので脆弱性のあるブラウザを使い続けるといった行動を抑制することができると思います。そのため、いつでもブラウザを切り替えられるように、ブラウザのランチャーアイコンは並べて置いておくのが良いのではないでしょうか。

(これを書いておいて思ったのですが、ブラウザ自身に今自分自身に発見されている脆弱性の通知機能があると便利ですね。ブラウザを立ち上げようとすると、未修整の脆弱性が公表されている場合、脆弱性の概要や他のブラウザを使用するようにユーザに催してくれると、最新のセキュリティ情報に疎い場合にも対処を取りやすくなります。もしかしたら、それはセキュリティソフトの範疇なのかもしれませんが。)


但し、ブラウザの中には手動でブラウザのセキュリティアップデートを行わないといけないものもあり、使用しているブラウザを常に最新に保っておく必要があります。
(せっかく脆弱性のあるブラウザを避けたのに、代替で使ったブラウザにもっと深刻な脆弱性が放置されていたという状態は避けねばなりません。)


こういったことに対応するのはなかなか大変だとは思いますが、自分自身の財産を守るために積極的に行動していきましょう!!

参考文献

*1

New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks | FireEye Blog
http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html

その他参考文献

IEに重大な脆弱性、サポート終了のWindows XPは修正パッチの予定なし - GIGAZINE
http://gigazine.net/news/20140428-retire-windows-xp-vulnerability-on-ie/

マイクロソフト セキュリティ アドバイザリ 2963983
https://technet.microsoft.com/ja-jp/library/security/2963983

Hackers find first post-retirement Windows XP-related vulnerability - Computerworld
http://www.computerworld.com/s/article/9247940/Hackers_find_first_post_retirement_Windows_XP_related_vulnerability

IE 6〜11に未解決のゼロデイ脆弱性、Microsoftがアドバイザリ公開 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1404/28/news017.html







関連記事

関連記事を読み込み中...

同じラベルの記事を読み込み中...