4/28、Microsoft社より、Internet Explorer(IE)に未修正の脆弱性が存在し、それを悪用した攻撃が既に確認されていることが発表されました。
この脆弱性は、事実上全てのWindows、全てのバージョンのIEに影響します。特にWindows XPについては、先日サポートが終了したため、修正パッチが出る予定はないことにご注意ください。
Microsoft社から推奨されている回避策としては、
・IEのインターネットおよびローカルイントラネット セキュリティゾーンの設定を「高」に設定する(FlashやJavascriptが無効になります)
・IEの拡張保護モードを有効にする(WindowsおよびIEのバージョンによっては有効にできない場合があります)
・Enhanced Mitigation Experience Toolkit(EMET)4.1以降を使用する
等があります。
ただし、これらの項目は今回問題となっているケースを含めたIEに対する攻撃を緩和し得るものですが、脆弱性を完全にカバーできるものではなく、修正パッチのリリースによる脆弱性の完全な対策は不可欠です。
なお、アメリカ国土安全保障省傘下のUS-CERTは「IE以外のWebブラウザを使用する」ことを呼びかけており、当社からも、FirefoxあるいはGoogle Chrome等を利用することを強く推奨します。
【参考】
・IEに脆弱性、「代替ソフト使用を」 米国土安全保障省(AFP)
http://www.afpbb.com/articles/-/3013810
・マイクロソフト セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される
https://technet.microsoft.com/library/security/2963983
・JPCERT/CC: 2014年4月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140018.html
・Firefoxのダウンロード
https://www.mozilla.org/ja/
・Google Chromeのダウンロード
https://www.google.com/intl/ja/chrome/browser/