会社のシステム導入(顧客管理システム・販売管理システム等)は、株式会社ネーブルスへご相談ください

  • トップページ
  • サービス概要
  • 実績・事例
  • よくあるご質問
  • お問い合わせ
  • 会社概要

IEの重大な脆弱性

先日よりニュースでも多く取り上げられてますインターネットエクスプローラの脆弱性の問題ですが、2001年から配布されているインターネットエクスプローラバージョン6から現行バージョンの11までと、かなり影響範囲が広いです。
ブラウザ別シェアでは、インターネットエクスプローラが58%とFirfox、Chromeを大きく引き離しており、それを考えれば、今回の問題による影響人数は、計り知れません。

一時的な対策

当のマイクロソフト発表では、恒久的対策が発表されるまでの一時的な対策が掲載されています。

  1. Enhanced Mitigation Experience Toolkit4.0、4.1を使用する。
  2. VGX.DLLの登録を解除する。
  3. ブラウザのセキュリティゾーンの設定を高くしActiveX、アクティブスクリプトを
    実行できない様に設定する。
  4. IE10、11では、拡張保護モードを有効にする。IE11は、加えて拡張モードで
    64ビットプロセッサを有効にする。

参照サイト
マイクロソフト セキュリティ アドバイザリ 2963983
https://technet.microsoft.com/ja-JP/library/security/2963983

コンピュータをある程度知っている人でさえも難解で対応できない内容です。
書いてある内容は、何れも脆弱性の存在するプログラムを動かさない様にする設定方法の説明です。

これらの対応は知識のある人にお願いするしかなく、上記を対応できない素人にとっては、メディアやネットで対策方法を示しているとおり、使用しない事が先ず第一です。また、別のブラウザをインストールし利用する事が最も良いと考えます。

なぜこんなに大事になっているのか

脆弱性

今回、ニュースでも、インターネットでも大きく取りざたされていますが、その理由は、脆弱性が発表され、またハッカーからの攻撃を受けた事例が既に確認されており、にも関わらず、それらハッカーからの攻撃を防ぐための策がない事で、お手持ちのコンピュータがハッカーの攻撃にさらされる可能性が非常に高く危険な状態になっているためです。

一般的には、脆弱性の発表は、脆弱性を修復するプログラム(セキュリティパッチ)と同時に脆弱性(セキュリティホール)の発表となり、脆弱性を修復さえすれば危険な状態を回避できます。しかし、今回は、そのセキュリティパッチが、まだ配布されていないため危険な状態が長く続いてしまいます。
そして、ゼロデイと呼ばれるのは、脆弱性(セキュリティホール)の発表とハッカーによる攻撃開始の日に間がないことから「ゼロデイ(Zero Day)」と呼ばれています。
既にハッカーからの攻撃が始まっていますので、本当に注意が必要となります。
上記で示した対策は暫定的な物で恒久的な策ではありません。早いセキュリティパッチの発表が待たれます。

どうなってしまうのか

脆弱性

今回、発見された脆弱性はVGX.DLL内に存在する様で、その脆弱性を利用し悪意あるサイトへ誘導されウィルスやトロイの木馬を埋め込まれてしまう様です。
その結果、コンピュータを乗っ取られたり、コンピュータ内の情報を盗まれたりする被害を受ける可能性があります。
では、VGX.DLLは何をする物なのでしょうか。VGX.DLLが悪い訳ではありません。VGX.DLLは、ブラウザにグラフや絵を描画するプログラムの様です。
インターネットを閲覧していると普通に絵、写真、グラフ、等が表示されます。
一般的なJPEGやGIF、PNG等の画像ファイルとは異なり、VMLと呼ばれる命令によりVGX.DLLが、線を引いたり円を描いたりして画像になります。
しかし、インターネットを閲覧していて一般的なJPEGやGIF、PNG等の画像なのか、VMLの命令によってVGX.DLLが描いた画像なのかは、パッと見では全く分りません。
そのため防ぎようがありません。
実際には、悪意あるコードが埋め込まれた画像がどういうものなのか私も見た事がないため分りませんが、何れにせよ。
怪しそうなサイトだから閲覧を控えよう、怪しいプログラムだから実行しないでおこう等のレベルではありません。画像を見ただけで、結果的に悪意あるプログラム等を埋め込まれてしまう訳です。

一時対策を実行

実際に上記の一時的な対策の

  1. VGX.DLLの登録を解除する。
を行って実験してみました。

先ずVGX.DLL自身を見に行ってみました。

VGX.DLL

VGX.DLLプロパティ

続いてVGX.DLLが動いている状態を確認します。

こちらを閲覧してみました。
http://uupaa-js-spinoff.googlecode.com/svn-history/r133/trunk/uupaa-excanvas.js/DEMO.htm

ボックス描画
スマイル描画

VGX.DLLの登録を解除してみます。

VGX.DLL解除
実行メッセージ

再び先程のサイトを閲覧してみます。

ボックス描画
スマイル描画

動かなくなりました。

恒久対策発表

解決

本日、恒久対策としてのセキュリティパッチがマイクロソフトより発表されました。
Windows Updateを行えば、ハッカーからの脅威を回避できます。

左下の「スタート」ボタン、もしくは、ウィンドウズマークをクリックし、
「すべてのプログラム」をクリック→「Windows Update」をクリックします
Windows Updateの画面が表示されたら→「更新プログラムのチェック」をクリック →「更新プログラムのインストール」をクリックします。

再起動がかかる可能性がありますので予め作業途中のWordやExcelは保存して閉じておきましょう。

みなさん。是非、Windows Updateを実行して下さい。


2014年5月2日 福田一成


前の記事へ
Webシステム開発導入読本メニューへ
次の記事へ

Webシステムに関するお問合せ・ご相談は下記までご連絡ください。

「まだ詳細は決まっていないけれど相談したい。」「なんとなく興味がある」
など、具体的な内容が決まっていない段階でも、お気軽にご連絡ください。

お電話でも、承っております/03-6869-5054 (平日10時~18時)
「Webシステムの件で」と、お電話ください。

  • お問合せ
  • 開発費用自動お見積り

HOME> Webシステム開発導入読本> 消費税率変更 ↑Webシステム開発費用の概算をオンラインでご提示致します。(無料)

IEの重大な脆弱性

お客様の声 Webシステム開発導入読本 社長のブログ
TOPへ戻る