マイクロソフト(Microsoft)からWEBブラウザのインターネットエクスプローラー(IE)に脆弱性があることが発表された。すべてのバージョンのIEが対象で、最新のウィンドウズ8.1に同梱されているIE11も対象である。特定のWEBサイトをインターネットエクスプローラーで閲覧すると悪意を持ったプログラム(ウイルス)に感染してしまう危険性があるという。マイクロソフト社からはこのリスクに対する回避策が発表されているが、どれも設定が困難でITリテラシーが相当高く無いと実施できないようなものばかり。あまり現実的ではない。現在この脆弱性を解決するためのパッチはないので、しばらくはインターネットエクスプローラーを使わないほうがいいだろう。
当面はIEの利用を避けて、WEB閲覧のためのブラウザは、グーグルクロームかファイヤーフォックスを使うべき。とくにグーグルクロームは表示速度も早くトラブルも少ないのでおすすめである。(この機会にIEを使うのをやめてしまってはどうだろう)
以下は、IPA情報処理推進機構のセキュリティのページ「http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html」からの引用
概要
Microsoft 社の Internet Explorer に悪意のある細工がされたコンテンツを開くことで任意のコードが実行される脆弱性が存在します。
この脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御される可能性があります。既に、当該脆弱性を悪用した攻撃が確認されているとの情報があるため、至急、回避策を実施して下さい。
対象
以下の Microsoft 製品が対象です。
- Internet Explorer 6
- Internet Explorer 7
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11
2014 年 4 月 9 日にサポートが終了した Internet Explorer 6 も対象となっています。
対策
1.脆弱性の解消 – 修正プログラムの適用
現時点で、Microsoft 社から本脆弱性を解消する修正プログラムが提供されていません。
修正プログラムが提供されるまでの間、以下の回避策を実施することを推奨します。2.回避策
Microsoft 社のアドバイザリ(2963983)では 6 つの回避策(Workarounds)が提示されています。いずれか 1 つを実施してください。企業や組織においては、回避策による業務システム等の影響有無を検証し、適切な回避策を選択してください。回避策の中から 2 つを紹介します。
- Enhanced Mitigation Experience Toolkit (EMET) 4.1 を使用する
EMET 4.1 は、ソフトウェアの脆弱性が悪用されるのを防止するために Microsoft 社が提供しているツールです。
導入する際には、次のページを参考にしてください。Enhanced Mitigation Experience Toolkit
http://support.microsoft.com/kb/2458544/ja
- VGX.DLL を無効にする
以下のコマンドを実行して、本脆弱性に関連する VGX.DLL の登録を無効にします。これにより VML (Vector Markup Language) によるベクター画像が描画されなくなります。
“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll” 上記の回避策の詳細、およびその他の回避策は、Microsoft 社のアドバイザリ(2963983)をご参照ください。
参考情報
- Microsoft Security Advisory (2963983)
http://technet.microsoft.com/ja-jp/security/advisory/2963983本件に関するお問い合わせ先
IPA 技術本部 セキュリティセンター
E-mail:
ウィンドウズアップデートが行われ、この脅威の対策プログラムが発表された。今回は特別にサポート期限が切れたウィンドウズXP用も配布されている。
この記事を書いた遠田幹雄は中小企業診断士です
遠田幹雄は経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。
民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣や中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者など
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。
お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。
【反応していただけると喜びます(笑)】
記事内容が役にたったとか共感したとかで、なにか反応をしたいという場合はTwitterやフェイスブックなどのSNSで反応いただけるとうれしいです。
遠田幹雄が利用しているSNSは以下のとおりです。
facebook https://www.facebook.com/tohdamikio
ツイッター https://twitter.com/tohdamikio
LINE https://lin.ee/igN7saM
チャットワーク https://www.chatwork.com/tohda
また、投げ銭システムも用意しましたのでお気持ちがあればクレジット決済などでもお支払いいただけます。
※投げ銭はデジタルコンテンツ購入という通販のしくみにしました。
※投げ銭は100円からOKです。シャレですので笑ってください(笑)
