Internet Explorerの脆弱性騒動

はじめに

4月26日、Microsoftのインターネット閲覧ソフト、Internet Explorer(IE)の事実上すべてのバージョンである6~11に、脆弱性(いわゆる欠陥)があることが発表されました。その時点では、修正プログラムはまだ用意されず、一方でこの脆弱性を悪用した、いわゆるゼロディ攻撃が既に見つかっていることも報告されていました(なお、5月2日に修正プログラムの提供は始まっています)。

異様な騒動と結論の中で

その2日後、アメリカの国土安全保障省がIEの使用停止と他のブラウザーへの切り替えを警告し、すると、日米同盟がお題目の日本政府も、それに追従する形で4月30日に政府機関や地方自治体に対し、同様の警告や注意喚起を行いました。こうした政府機関からの警告により、企業等でも対策、というより波紋や混乱が広がったようです。

私が講義を行っている実習環境にもIEを常時使用している数十台のパソコンがあるため、5月1日に出講すると、とりあえず外部Webサイトの閲覧は他のブラウザーで、ということになっていました。その時は「生徒」に、個人環境ではIE11へのアップデートと、Microsoftが「アドバイザリ」で提示していた「拡張保護モード」を有効にする緩和策を伝え、この騒動にいちおう水を差しておいたのですが…。

しかし、その日に帰宅してNHKのニュースを見ると、「マイクロソフト社の閲覧ソフトを使うとパソコンからIDやパスワードが盗まれ不正送金されてしまう」と短く、しかし深刻に伝えていて、これにはさすがにびっくりしました。なぜなら、起承転結から承転を取り去って、推定の結論だけが強調されていたからです。

脆弱性の概要

日本では、政府の直接的な警告は別として、脆弱性等の注意喚起はJPCERT/CCという団体が行っています。今回の注意喚起では、以下のような概要が掲示されていました。

Microsoft Internet Explorer には未修正の脆弱性があります。結果として遠隔の第三者は、細工したコンテンツをユーザに開かせることで、任意のコードを実行させる可能性があります。

Microsoft Security Advisory 2963983
Vulnerability in Internet Explorer Could Allow Remote Code Execution
https://technet.microsoft.com/en-US/library/security/2963983

マイクロソフト社によると、本脆弱性を悪用する標的型攻撃が確認されているとのことです。

そして、5月1日時点では、Microsoftのアドバイザリによる回避策が案内されていました(現在は、「対策」がもちろん掲示されています)。

ここでは、他ブラウザーへの切り替えについては、勧告も紹介もされていません。また、概要に「IDやパスワードが盗まれ不正送金されてしまう」といった“具体的”な内容は書かれていません。

同様の注意喚起を行う団体に、独立行政法人情報処理推進機構(IPA)もあり、JPCERT/CCのような素っ気ない注意喚起だけでなく、イラスト入りで問題の概要や、「想定される被害」が掲載されています。

JPCERT/CCの注意喚起では、細工したコンテンツをユーザに開かせることで、任意のコードを実行させる脆弱性であると述べられていましたが、IPAでも以下のように記載されています。

Microsoft 社の Internet Explorer に、悪意のある細工がされたコンテンツを開くことで任意のコードが実行される脆弱性が存在します。

この脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御され、様々な被害が発生する可能性があります。

いずれにしても、「細工したコンテンツを開かせて任意のコードを実行させる」ので、そうしたコンテンツが仕組まれたWebページをIEで閲覧させることが、この脆弱性を悪用する攻撃の、不可欠な手段になります。そして、Microsoftのアドバイザリによれば、その前段階として、メールなどでユーザーを不正なページやサイトへ誘導することが行われます。

つまり、ただIE使っただけで、即座に不正送金が行われてしまうわけではなく、2段階の仲介手段(メール等で誘導→不正コンテンツを閲覧)を経て、被害が及ぶことになるわけです。また、細工したコンテンツをまっとうなWebサイトに仕込む手口も考えられますが、それにはIEの脆弱性ではなく、そのWebサイトの脆弱性を悪用することになります。

“想定”される被害

そのうえでの「想定される被害」なのですが、情報窃取(個人情報、ID/PW等)、遠隔操作(のぞき見、不正操作、攻撃の踏み台等)がされてしまいますウイルス感染後、オンラインバンキングの認証情報が窃取され、不正送金されてしまうという解説が、IPAのページにあります。

NHKはこれらから、脆弱性悪用のステップは無視し、被害からは“想定”を取り去って、一足飛びに結論としてだけ報じてしまったのではないでしょうか。実際、IPAはそんな勇み足に怖気づいたのか、IPAは現時点(5/1 18:00 時点)で、IPA は、本脆弱性がこのような個人への攻撃に悪用されているという情報を確認していませんという、注釈を付記しています。

他の脆弱性との比較

もちろん、可能性としては、こうした被害が考えられるわけですが、もう一度JPCERT/CCの注意喚起へ戻ってみましょう。ここには、ほぼ同時期の4月30日付で、「Adobe Flash Player の脆弱性 (APSB14-13) に関する注意喚起 (公開)」も掲載されています。

これは、Adobe SystemsのFlash Playerに関する脆弱性ですが、概要は以下の通りです。

Adobe Flash Player には、複数の脆弱性があります。遠隔の第三者は、これらの脆弱性を使用する細工したコンテンツをユーザに開かせることで、Adobe Flash Player を不正終了させたり、任意のコードを実行させたりする可能性があります。脆弱性の詳細については、Adobe Systems 社の情報を確認してください。

Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb14-13.html

Adobe Systems 社によると、APSB14-13 の脆弱性を使用した攻撃が確認されているとのことです。

つまり、同時期に発見されたFlash PlayerとIEの脆弱性には、ほぼ同様の“機能”と危険性が存在していると言えます。しかし、Flash Playerの脆弱性は一般ではほとんど報じられず、「Flashを見るのを止めろ」といった警告や、「Flashを見ると不正送金される」といった断定は、皆無です。

Flash PlayerとIEの脆弱性の違いは、前者の修正プログラムが既に用意された段階で、それが公表されたという点です。すなわち、ゼロディ攻撃にはならなかった、ということですが、もちろん、修正プログラムを導入しなければ、どちらも問題点や危険性は同じです。IEは、これだけ騒ぎになったので、より多くの人が修正プログラムを導入すると思われますが、Flashのほうは騒がれなかった分、見過ごされるかもしれません。

ほんとうにIEは危険なのか?

実際のところ、IEやFlash Playerなどは、脆弱性の発見やゼロディ攻撃は過去に幾度もありましたが、アドバイザリに従って緩和策で対処し、修正プログラムを待つ、というのが賢い対応でしょう。今回のような騒動によって、脆弱性一般への関心が高まるのなら良いのですが、ただIEの信頼性だけが傷つけられて終わる、というのでは残念です。なぜなら、特にIE 11とWindows 8.1の組み合わせは、他と比較して安全性の高いインターネット閲覧環境だからです。

今回の騒動によって、見落とされるかもしれないので、以下のような記事もあることを紹介しておきましょう。

これらの記事の中では、IE11、10と他のブラウザーとの、悪意のあるプログラム(マルウェア)に対する一般的な防御機能が比較されています。今回のような脆弱性を利用した攻撃は対象外ですが、これらの記事を読む限り“IEは危険なブラウザー”という先入観は、とりわけIE11では覆されるでしょう。そして、他のブラウザーに乗り換えることが本当に安全なのか、注意を喚起する必要があります。

krzm.jp:not(so-called mobile friendly)