画面●日本マイクロソフトが公開する「回避策まとめ」ページ
画面●日本マイクロソフトが公開する「回避策まとめ」ページ
[画像のクリックで拡大表示]

 日本マイクロソフトは2014年4月30日、米国時間4月26日に公表したInternet Explorer(IE)の脆弱性の回避策を公開した(関連記事)。推奨する回避策をOSごとにまとめている(画面)。

 今回見つかった脆弱性はメモリー管理に関するもの。現在サポート対象になっている全てのバージョン(IE7~11)に加え、サポートが終了しているIE6も影響を受ける。細工が施されたWebサイトにアクセスするだけで、ウイルス(マルウエア)に感染し、パソコンを乗っ取られる恐れなどがある。実際、脆弱性を悪用した標的型攻撃が確認されているという。

 セキュリティ更新プログラム(パッチ)は未公開なので、いわゆる「ゼロデイ脆弱性」である。米国時間4月26日に公開されたセキュリティアドバイザリ(日本語版は4月28日公開)にも、脆弱性の影響を緩和する回避策が記載されているが、今回、日本マイクロソフトでは、利用しているOSやIEのバージョンごとに、推奨する回避策を分かりやすくまとめた。

 例えば、Windows Vistaや、Windows 7以降の32ビット版OSでは、VML(Vector Markup Language)の無効化を回避策として挙げて、無効化の具体的な手順を紹介している。

 また、Windows 7以降の64ビット版OSでは、IE8/9のユーザーにはVMLの無効化を、IE10以上のユーザーには拡張保護モードの有効化を推奨している。

 企業ユーザーに対しては、EMET(Enhanced Mitigation Experience Toolkit)が最も効果的な回避策であるとして、導入を検討するよう勧めている。EMETとは、同社が無償で提供するセキュリティ脆弱性緩和ツール。

 なお情報処理推進機構(IPA)では、日本マイクロソフトが推奨する回避策を実施できない環境については、セキュリティ更新プログラムが提供されるまではIE以外のWebブラウザーを使うことを推奨している。

[日本マイクロソフトの情報]