セキュリティ研究者が、最新のInternet Explorerのゼロデイ脆弱性を悪用するエクスプロイトコードをWeb上で公開しました。Microsoftは、未修正の脆弱性を狙った攻撃が今後さらに増加すると警告しています。Internet Explorer(IE)の脆弱性が次々と発見されるたびに、Webブラウザをアップグレードすべき時期が来ているという点がますます明らかになっています。
このInternet Explorerのゼロデイ脆弱性は、IE8が以前のバージョン、特にIE6よりも安全であることを示す最新の事例です。セキュリティ面はさておき、Webホストや開発者は一般的にIE6を軽視しています。この事実の証拠は、IE6nomore.comに掲載されている支持者の膨大なリストを見れば明らかです。
IE6は安全ではない
QualysのCTOであるWolfgang Kandek氏は、メールで次のように述べています。「IE6は10年前のブラウザであり、そのアーキテクチャはインターネットが今よりはるかに無害だった時代に設計されました。IE8には多くのセキュリティ機能が追加され、Microsoft SDL(セキュリティ開発ライフサイクル)が全面的に適用されています。CSSとJavaScriptのサポートはIE6、さらにはIE7よりもはるかに優れており、新しいWeb 2.0型アプリケーションにとってはるかに堅牢なインターフェースとなっています。」
シマンテック セキュリティ レスポンスのセキュリティ インテリジェンス マネージャー、ジョシュア タルボット氏も同意見です。「IE 6 には、データ実行防止 (DEP) や保護モードなど、IE の後継バージョンに実装されているセキュリティ機能が備わっていません。DEP は、攻撃者がメモリ破損の脆弱性を悪用することをより困難にします。一方、保護モードは、攻撃者が IE プロセスを制御できた場合の攻撃を制限します。」
ここで多くの読者は読むのをやめ、コメント欄に飛んで、誰もが Internet Explorer の使用を完全にやめるべきであり、Web ブラウザーとして IE を使い続けることを選択する人は、それに伴う問題やセキュリティ上の懸念を受け入れるべきだという意見を (時には非常に熱く) 表明します。
ウェブブラウザの市場シェア動向を見ると、「Internet Explorerを捨てろ」というスローガンに賛同する人は少なくありません。Microsoftの市場シェアは、FirefoxやChromeといった競合ウェブブラウザがシェアを伸ばし続ける一方で、わずかながらも毎月着実に低下しています。それでも、Microsoftは62%近くという圧倒的なシェアを握っており、これは2位のFirefoxの2倍以上のシェアです。
しかし、ブラウザ市場シェアのデータをもう少し深く掘り下げてみると、Internet Explorerがトップブラウザであるだけでなく、特にIE8がブラウザ市場の22%以上のシェアを占めてトップに立っていることがわかります。来週1周年を迎えるブラウザとしては、決して悪くない数字です。
懸念されるのは、市場シェア2位のブラウザが9年前のIE6で、シェアが約20%にとどまっていることです。IE7はリリースから4年近く経っているにもかかわらず、シェア4位に留まり、Firefox 3.5のわずか13.57%に迫っています。
IE6から離脱する
IE6は明らかに安全ではありません。企業やIT管理者は、Webブラウザの早急なアップグレードを優先すべきです。Webはサイバー攻撃の主要な媒介であり、Webブラウザは組織の脆弱性を高め、セキュリティチェーンにおける最も脆弱なリンクとなるアキレス腱なのです。
もちろん、そんなに簡単ではありません。IE6をまだ使い続けている多くの組織は、IE8への移行を望んでいますが、それができません。Kandek氏は次のように説明しています。「企業環境ではソフトウェアは管理されており、IE6またはIE7はすべての社内アプリケーションで動作する初期承認ビルドの一部です。そのビルドをすべての社内アプリケーションで再検証するのは、多くの企業にとってリソースが足りないほどの大規模な作業です。」
「もしそうなら、他のブラウザと互換性のないIE6の機能に特化したアプリケーションが見つかるかもしれません。最近、ある大手顧客から、IE8で動作しないアプリケーションが数十個あると聞きました」とカンデック氏は続けた。
シマンテックのタルボット氏も同様の懸念を表明しました。「企業にとって、ソフトウェアの購入コストだけでなく、導入と保守にもコストがかかります。企業は、新バージョンが現在のニーズを満たし、互換性の問題がないことを確認するために、ソフトウェアの品質保証を行う必要があります。また、アップデートを展開するためのITリソースも割り当てる必要があります。さらに、バージョン間の差異や既知の互換性問題への対処方法をユーザーに理解してもらうための教育も必要です。」
マイクロソフトの広報担当者は電子メールで、「マイクロソフトはこれまで一貫して、消費者の皆様にブラウザの最新バージョンへのアップグレードを推奨してきました。Internet Explorer 8は、速度、セキュリティ、信頼性の向上に加え、ユーザーのウェブ利用方法に合わせて設計された新機能も提供しています。すべてのお客様にInternet Explorer 8を推奨していますが、デスクトップ全体に新しいテクノロジーを幅広く導入するには、より綿密な計画が必要となる企業顧客も多数いらっしゃることを理解しています」と述べています。
組織で使用されているすべての商用ソフトウェアと社内カスタムアプリケーションが新しいWebブラウザで正常に動作することを保証したり、あるいは動作する代替アプリケーションを見つけて導入したりするのは、大変な作業であることは承知しています。しかし、IE6を使い続けるのは、車のキーをイグニッションに差し込んだまま、施錠せずに放置するようなものです。
Internet Explorer 8、ソーシャルエンジニアリング攻撃に勝利
NSS Labsの最新レポートは、IT管理者にとってIE6(あるいはIE7)からIE8への移行が最優先事項である理由を説明しています。また、このレポートはIEバッシングの通説に反論し、ソーシャルネットワーキングやWeb 2.0攻撃からシステムを保護するという点では、IE8が実際には最も安全なWebブラウザであることを示しています。
ソーシャルエンジニアリングを駆使したマルウェア攻撃、いわゆるフィッシング攻撃は、組織にとってますます大きなリスクとなっています。これらの攻撃はソーシャルエンジニアリングを駆使し、エンドユーザーの信頼を悪用して機密情報を侵害、窃取、または破壊します。
NSS Labsのレポートは、「トレンドマイクロの統計によると、マルウェアの53%がインターネットダウンロード経由で拡散しており、メール経由はわずか12%にとどまっている。また、Microsoftによると、Internet Explorer 8経由で行われるダウンロードリクエストの最大0.5%が悪意のあるものだ」と主張している。
NSS Labsは、18日間にわたり5つのウェブブラウザ(IE、Firefox、Safari、Chrome、Opera)をテストしました。評価期間中、テストは24時間365日体制で行われ、550以上のソーシャルエンジニアリングによるマルウェアリンクで各ブラウザを攻撃しました。
NSS LabsによるWebブラウザセキュリティテストは今回で3回目となります。レポートによると、「3回のテストにおいて、Windows Internet Explorer 8はソーシャルエンジニアリング型マルウェアに対する最高の保護を提供し、ブロック率をテストごとに向上させた唯一のブラウザであり、各テストで脅威の69%、81%、85%を阻止することに成功しました。」
タルボット氏は、あるウェブブラウザが本質的に他のブラウザよりも優れているという魔法のようなことは何もないと説明した。「どのベンダーのアプリケーションやオペレーティングシステムも、通常、脆弱性や攻撃に対する耐性を付与するような特別なコードを備えているわけではないのです。」
「結局のところ、ソフトウェアの人気が高ければ高いほど、標的にされる可能性が高くなるという事実に立ち返ります。つまり、世界中の人々が市場シェアのほとんどない無名のブラウザに切り替えれば、攻撃者はそれを狙い始めるでしょう。攻撃者は金があるところに集まり、金は人々がいるところに集まるのです」とタルボット氏はまとめた。
nCircleの主任研究エンジニアであるタイラー・レグリー氏もメールで回答し、ブラウザ自体が問題ではないという同様の見解を示しました。「昨今の不安は、『スマートブラウジング』や『セーフブラウジング』の欠如に起因しています。人々はインターネットの裏側を覗き見することにあまりにも積極的です。暗い路地裏に座り込んでいる人から商品を買うような人は多くありませんが、サイバー空間におけるそれに相当するウェブサイトであれば、喜んで訪問し、そこで購入します。」
まとめると、Internet Explorer 6の使用をやめましょう。あなた自身、あなたの会社、そしてあなたとWebを共有する世界中の人々にとって、大きな恩恵となるでしょう。IE6からアップグレードするのであれば、IE8は乗り換えに適した堅実なWebブラウザです。
Firefox や Chrome などの他の Web ブラウザも IE6 よりも非常に安全ですが、グループ ポリシーを通じて IE を管理し、Microsoft が提供するツールを使用して IE を更新することに慣れている組織では、代替ブラウザのサポートとパッチ適用がネットワーク インフラストラクチャにどのように適合するかを検討する必要があります。
IE6よ、安らかに眠れ。我々はお前のことを(あまりにも)よく知っていた。
Tony Bradleyは、『Unified Communications for Dummies』の共著者です。@Tony_BradleyPCWとしてツイートしています。Facebookページをフォローするか、[email protected]までメールでご連絡ください。
