Internet Explorer へのゼロデイ攻撃にご注意を

   2015/12/03   icon-clock-o読了時間:約12分36秒

先日の4/9についにサポートが終了したWindows XP
その後すぐにSecurity Essentialsの更新不具合で動作しなくなったりと、
「早く新しいWindowsにしないと、どうなっても知らないぜ・・・」と
脅されているかのような出来事が続いています。
その度に、Windows買い替え促進のためにMicrosoftがわざとやってんじゃないの、と
疑ってみたりするのですが、Windowsから離れられない身としては
結局のところMicrosoftさんを信じるしかないのです。

しかしまたやって来たMicrosoft関連の危険性。
今回はInternet Explorerをお使いであれば関係あるお話なので
Windows XPを使ってないから安心!と思わずに皆さんお付き合いください。
しかしこんなしょっちゅう来られては、私の記事更新が追いつきません。早くなんとかしてMicrosoftさん。

目 次

ゼロデイ攻撃とは
攻撃の対象となるIEのバージョン
攻撃されるとどうなるか
攻撃に対する対策として
名づけてOperation Clandestine Fox

※2014年5月2日 追記:Microsoftがセキュリティ更新プログラムをリリースしました。
 詳しくはセキュリティ更新プログラムの公開をご覧ください。

ゼロデイ攻撃とは

ゼロデイ攻撃。またの名をセロデイアタック。
ちょっとヒーローの必殺技みたいで心躍る響きですが、そんな楽しいものではありません。

ゼロデイ、つまり数字のゼロに「Day」。
これはこのままの意味で「日が経っていない」ことを表しています。
何から日数が経過していないかというと、セキュリティ上の問題が発覚してから

今回の件で言えば、Internet Explorer(以下 IE)のセキュリティ上の脆弱性(セキュリティホール)が発見され、
攻撃される危険性があることが発表されたけれど、世間への認知や対策方法がまだ浸透していない、
この隙を突いて攻撃!ということですね。

民家で言うとこんな感じでしょうか。
壁の一部が壊れていることに大家さん(Microsoft)や家人(ユーザー)より先に強盗が気づき、
家(コンピュータ内)に侵入されてしまいました。
その穴が普段は家の人も目にしない裏の辺りなので、室内の家具や家電が勝手に動いていることに気づいて
ようやく侵入されていたことを知ります。
しかもそれはその一軒だけではなく、同じ種類の壁を使っている民家の全てに穴が開いています。
大家さんは親切な知人の知らせでそれに気づいて住民への注意喚起を呼びかけ、同時に
新しい壁を立て直すための材料を配布しようとしていますが、それにはまだ少し時間がかかります。
そもそも大家さんの回覧板(危険性への説明)を見てない人も居るし、
一時的に壁の穴を塞ぐ方法もまだ英語版のページしか無いので読めないし、ということで
現在その地域は強盗にとって『今が稼ぎ時だぜ!!』な状態です。
しかも強盗には強盗のネットワークがあり、大家さんの対策よりも早く
『あそこの壁に穴が開いてて入り放題』という情報が出回ってしまうのです。

攻撃の対象となるIEのバージョン

現在影響がある(脆弱性を抱えている)と考えられているのはIE 6 から IE 11 までです。
IEを使っている方のほぼ全てではないでしょうか。

今のところ特に攻撃の標的となっているのはIE 9~11。
Windows XPであれば IE 8 までしか動かないので、特にXPが狙われたという訳でもないようですが
元からサポート終了後の危険な状態なので狙われたらひとたまりも無さそうです。

攻撃されるとどうなるか

今回の攻撃はコンピュータ内の使用済みメモリ領域(削除されたメモリや不適切な割り当てのメモリ)に
IEがアクセスする方法(『use-after-free』と呼ばれます)の脆弱性を悪用した攻撃です。

攻撃が仕込まれたWebサイトを閲覧するか、メールの添付ファイルを開くことによって攻撃が始まります。
この攻撃が成功してしまうと、プログラムの実行に必要なコンテキストの中から任意のコードを実行できる、
つまり遠隔操作で勝手にコンピュータ内のプログラムを動作させることができてしまいます。

攻撃に対する対策として

一番おすすめしたいのは、この機会にIEから一旦離れて、他のブラウザを使ってみるという方法です。
私はもう長らくIE以外のブラウザしか使っていません。
メインでFirefox、サブでChrome、気分でSafari。
WindowsのデフォルトがIEであるために、IE以外のブラウザの存在に気づくこともなく
過ごされている方が多いと思いますが、IEよりも使いやすく
セキュリティの優れたブラウザは他にいくらでもあるのです。

各ブラウザについてのご説明やインストール方法は過去記事をご覧ください。
インターネット閲覧をもっと便利に快適に
【1】ブラウザの違い編
【2】Google Chromeのインストール
【4】Firefoxのメリットとデメリット
【5】Firefoxのインストールと初期設定

業務上ブラウザはIEでなければ困る、他のブラウザにはできない、という方もいらっしゃると思います。
そこでMicrosoftから対策プログラムが提供されるまでをしのぐ方法を以下でご説明します。
あくまで一時しのぎなので、Microsoftから更新情報が出たらすぐにそちらをご確認ください。

対策1:拡張保護モードを有効にする
対策2:Adobe Flash Player を停止もしくはアンインストールする
対策3:Enhanced Mitigation Experience Toolkit(EMET) 4.1およびEMET 5.0 Technical Previewの適用

対策1:拡張保護モードを有効にする

IE 10と11をお使いであれば(もしくはIE 10か11にアップデートした上で)
インターネット設定を『拡張保護モードを有効にする』もしくは
『拡張保護モードで64ビットプロセッサを有効にする』に設定してください。
拡張保護モードとは、危険性が高いと思われるサイトの閲覧や実行の際に
ユーザー権限を制限し、データアクセスにも制限を設ける設定です。
今回のような悪意ある攻撃を受けた時、コンピュータ内のデータの書き換えや実行についての権限を
可能な限り限定することによってセキュリティを向上させます。

対策2:Adobe Flash Player を停止もしくはアンインストールする

今回のゼロデイ攻撃には Adobe Flash が必要なため、Adobe Flash Player のプラグインを停止させて無効にするか、
Adobe Flash Player をアンインストールするのも有効な対抗策とされています。

ただ、現在のWebページではFlashを利用したプログラムやページが多くあるので
正規のページが正しく表示されなくなる可能性があります

対策3:Enhanced Mitigation Experience Toolkit(EMET) 4.1 およびEMET 5.0 Technical Previewの適用

Microsoftから提供されているセキュリティアップのためのツールで、
脆弱性を悪用しようとする人たちに対して防壁になってくれます。
しかしこれも100% 攻撃を防いでくれる保証はないため、
どうしてもIEを使用しなければならない場合の保険だとお考えください。

Microsoft公式サイト
Enhanced Mitigation Experience Toolkit (EMET) について

EMET ダウンロードページ
※まだ英語版のページしかありませんが、操作は通常のインストールと変わりません。

名づけてOperation Clandestine Fox

米FireEye社により今回の脆弱性へのゼロデイ攻撃の名称は『Operation Clandestine Fox』と名付けられました。
Operationは「(コンピュータ上の)操作」、Clandestine は「(悪巧み的な意味の)秘密」。
Fox は普通に訳せば「キツネ」ですが、今回は「狡猾な人」や「欺く」のほうの意味でしょうか。
悪い人がこっそりコンピュータを操作するよ、という感じ?

米FireEye社はゼロデイ攻撃や標的型攻撃への対策製品を製作販売している会社です。
同社の研究所が今回のゼロデイ攻撃に気づき、Microsoftへの通知を行いました。
更に研究は進められているのでしょうが、諸事情で『Operation Clandestine Fox』の
具体的な攻撃対象などは明らかにされていないそうです。
諸事情ってなんでしょうね。アメリカ政府の圧力的な何かとか、CIAのなんとかとか?
隠されると余計に気になると共に、またMicrosoftさんへの不信感が・・・(・×・)

追記 : セキュリティ更新プログラムの公開

本日5月2日、日本マイクロソフト株式会社からIEの脆弱性に対する
セキュリティ更新プログラムの公開が発表されました。
同発表内にて米マイクロソフト社のジェネラル マネージャーによるお知らせの日本語訳も掲載されています。
Internet Explorer 用セキュリティ更新プログラムの提供についてをご覧ください。

しかし結構長いので、要点だけ&今まで発覚していることを補足しながらまとめると
↓ こんな感じのことを言っています。

Internet Explorer 6~11 の脆弱性を修正するセキュリティ更新プログラムを作りました。
普段からWindowsの重要な更新を自動でアップデートする設定にしてあるなら自動で修正プログラムが入るので安心してください。
もしも自動更新を止めている場合はすぐに【全てのプログラム】→【Windows update】から更新してください。

早く解決できるようにがんばりました。
メディアが実際の被害よりも大げさに騒ぐから大変な事態のように感じたかもしれないけど
言うほど大変なことにはなってないから安心してね。
攻撃対象も限定されてたし・・・(その対象についてはヒミツだけどね!)
今回は特別にXP向けの修正パッチも出してあげるけど、ほんとのほんとに例外措置だよ。
できるだけ早く新しいWindowsにしたほうがいいよ。
何にしてもInternet Explorerが一番安心安全な良いブラウザなんだから信用してよ。

・・・攻撃対象について詳しく。
そしてメディアに対して騒ぎすぎだと怒るなら、もっとMicrosoftの公式ページで
きちんとした説明をするべきだったと思わなくもないのですが。
目立った広報もせず、この危険に気づいていなかったユーザーさんには気づかれないまま
自動更新で修正を行って、何にもありませんでしたよ、みたいな顔をするのはちょっとどうかと思います。
この対処の雑さが余計にMicrosoftさんの信用を貶めているんじゃないでしょうか・・・

何はともあれ、IEをお使いの方は日ごろからくれぐれもお気をつけください。
ウイルス感染や遠隔操作によって困るのは自分だけではありません。
家族、会社、友人に多大な損害を与えてから慌てても遅いのです。
もちろんIEだけではなく、どんなOSやブラウザでも危険性は潜んでいます。
「自分は大丈夫」と思わずに、コンピュータ内のプログラムは最新の状態に更新して、
セキュリティソフトもきちんと入れておくようにしましょう。

 良かったら押してみてください♥

  • このエントリーをはてなブックマークに追加
  • Pocket