「IEの脆弱性」が騒がれてるけどどうしたらいいの？：IE禁止の会社も

「IEヤバイ」という声が高まっていますが、どんな対策を取ればよいのでしょうか？　専門家に聞いてみました。

[ねとらぼ]

5月2日追記：

脆弱性を修正するセキュリティプログラムが更新されました→続報：IEの脆弱性を修正するセキュリティ更新プログラム公開　Window XP向けにも

　「IEが使用禁止になった」――Webブラウザ「Internet Explorer（IE）」で脆弱（ぜいじゃく）性が発見されたというニュースを受けて、会社からこのような指示が出たというツイートがあちこちで投稿されて話題になっています。

　「IE禁止令」にとどまらず、インターネットを遮断した会社もあるといいます。また会社によってはIEでしか利用できないシステムを使っているところもあり、IE禁止に戸惑う声も。

　今回発見された脆弱性はIEのバージョン6〜11に影響します。この脆弱性を悪用して細工をしたWebページやHTMLメールにIEでアクセスしてしまうと、個人情報を盗まれたり、PCを乗っ取られたりする恐れがあります。この脆弱性を悪用した攻撃が確認されていますが、問題を修正するプログラムはまだ公開されていません。

マイクロソフトのセキュリティ情報

　では修正プログラムが公開されるまでの間、どんな対策を取ったらいいのでしょうか。@ITでセキュリティ記事を執筆するソフトバンク・テクノロジー株式会社の辻伸弘さんにうかがいました。

　辻さんは一番手軽な対策として、ChromeやFirefoxなどほかのブラウザを使うことを勧めています。マイクロソフトは脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit」や拡張保護モードを回避策として推奨していますが、こちらは少し難しく、ITにあまり詳しくない方には別のブラウザを使うことがおすすめです。IEでしか使えないシステムを社内で使っている会社もあると思いますが、インターネットから遮断された社内のシステムであれば大丈夫と考えてよいとのこと。

　気をつけるべきなのは、既定のブラウザがIEになっていると、メールやチャットで送られてきたURLをクリックするとIEで開かれてしまうということ。既定のブラウザの設定も変えることをお忘れなく。

　またほかのブラウザをダウンロードする際は、公式サイトからダウンロードすること。最近は偽のサイトに誘導する検索広告も発見されていますので、検索サイトの広告表示ではなく公式サイトにアクセスするようご注意を。社内ネットワークの管理を行っている方々はユーザーに対して、ダウンロード先を周知したり、安全なインストーラを配布するという手段も有効でしょう。

• Chromeダウンロードページ

• Firefoxダウンロードページ

• Operaダウンロードページ

　IEでは過去にも類似の問題が発見されていますが、今回はテレビや新聞も取り上げてかなり大きな騒ぎになっています。辻さんは、Windows XPのサポートが終わった後で発見された脆弱性であること、アメリカの国土安全保障省が警告を出したことで注目されたのだろうとしています。

　ただ、同省はIEを使ってはいけないと言っているわけではなく、「マイクロソフトの推奨する回避策を適用する。Window XPなどそれができない場合はほかのブラウザの導入を検討する」ことを推奨していると辻さんは指摘しています。それが一部で「国土安全保障省がIEを使わないよう呼びかけた」と報じられ、マスメディアの影響力もあって「IE禁止」という言葉が一人歩きしていったようです。

　今回の件で、IEからブラウザを乗り換えたという人もいるでしょう。しかし、それで完全に安全になるわけではありません。どのブラウザでも脆弱性は発見されていますし（もちろん開発元は問題が発見されると修正に取り組んでいますが）、またサポート切れのWindow XPではIE以外のブラウザを使っていても、OSそのものの脆弱性が見つかる可能性があります。ブラウザに限らず、アップデートをインストールするなど、ユーザーが自分の使っている環境をメンテナンスすることも重要です。