今日、コンピューターによる作業の多くがWebブラウザーを経由したものになっている。特にビジネスの場面においては、クライアントサーバー形式の業務アプリケーション、各種のWebサービス、クラウドサービスの活用も進み、業務パソコンにおいてWebブラウザーは必須のツールといえよう。その中でもWindowsの標準Webブラウザーである「Internet Explorer(IE)」は、利用者の多さゆえに脆弱性が狙われることも少なくない。企業においてIEを活用していくにあたり、どのように対策を考えていけばよいのだろうか。
Webブラウザーは攻撃の入口となっている
ボットをはじめとするマルウェアに感染させるための入口として、Webサイトが悪用されている。正規サイトを改ざんすることで、サイトの来訪者に対してWebブラウザー経由でマルウェアを送り込む「ドライブバイダウンロード攻撃」も珍しくなくなった。ボットの拡散などを狙い、多くのWebサイトが改ざん被害に遭っている。
標的型攻撃メールでも、マルウェアを添付ファイルで送りつけるのではなく、メールの本文に記載したURLから攻撃サイトに誘導し、そこからマルウェアを侵入させる手法が定番の攻撃パターンとなっている。
さらに最近では、標的型攻撃の巧妙化が進み、「水飲み場型攻撃」も発生している。特定分野の企業や団体の従業員が日常利用するWebサイト(ポータルサイトや業界のニュースサイトなど)などを改ざんしてマルウェアを仕込み、Webサイトを閲覧しにきた人のパソコンをマルウェアに感染させるものだ。
「ドライブバイダウンロード攻撃」を標的型攻撃に応用したものだが、より巧妙なのは、アクセスしたユーザーに無条件にマルウェアを感染させるのではなく、標的とする企業やユーザーからのアクセスに限定して感染させることだ。
Webサイトを通じてマルウェアに感染する被害が絶えないわけだが、攻撃の入口として狙われるのが「Webブラウザー」だ。こうした問題に関してInternet Explorer(IE)が俎上(そじょう)に上げられることも多く、事実、Microsoftでは、月例セキュリティ更新において、毎月のようにIE向けの修正パッチを提供している。
狙われるWebブラウザーたち
もちろん、「Chrome」「Firefox」「Safari」といったIE以外のWebブラウザーが、安全かといえばそうでもない。こうしたWebブラウザーからも当然脆弱性は多数発見されている。セキュリティパッチやバージョンアップを怠ると、攻撃された際、被害を受けるのはIEもその他のWebブラウザーも変わりない。どのWebブラウザーがより危険かどうかを考えるよりは、発見された脆弱性を放置することのほうがむしろ危険と考えたほうがいい。
脆弱性を放置することは、使っているWebブラウザーの種類に関係なく危険であるが、IEは特に多くの脆弱性が見つかっている。例えば、ESETが2015年1月に発表したレポート「Windows Exploitation in 2014(英文)」で分析しているが、2014年、Windowsおよびそのコンポーネントにおいてもっとも脆弱性が多かったのはIEだった。なぜ、これほどまでにIEの脆弱性が見つかるのだろうか。
なぜIEが狙われる? 考慮すべきIEの特殊事情
脆弱性が多数見つかる背景には、IEならではの考慮すべき事情も存在する。それは、「市場シェア」の高さからくる「標的」としての価値だ。攻撃者の視点で見れば、利用者が多いIEは攻撃が成功しやすい環境のひとつであり、攻撃するならまずIEの脆弱性を突くことを考えるのは必然の流れだ。
別の問題もある。これは市場シェアとも関係することだが、企業システムや多くのサービスがIEを前提にして開発され、運用されているという現実がある。特に企業システムにおいて、独自開発の業務システムがIEを前提に開発されることは珍しくない。
業務利用でさらに問題なのは、一度開発され運用されているシステムのバージョンアップやリプレースは簡単ではなく、古いシステムやIEのまま運用を続けざるを得ない環境が少なくないことだ。
WindowsやIEに脆弱性が発見され、セキュリティパッチが配布されたり、新しいバージョンがリリースされたりしても、そのタイミングで企業内のシステムをリプレースする、あるいは、できるとは限らないのだ。IEのバージョンアップは、システムの改修が必要になることがあるほか、セキュリティパッチによってシステムが動かなくなる場合もある。そのつどシステムを改修するのも現実的ではない。
バージョンアップできない場合はどうすべき?
このように、企業システムにおいては、危険を承知で古いバージョンのIEを使い続けなければならない状況が存在する。そんなケースでは、メジャーバージョンアップへの対応が難しくても、セキュリティパッチは原則として適用する運用が望ましい。
一般的な手順としては、脆弱性情報や「Microsoft Fix it」のようなアドバイザリ情報が公開されたら、システム担当者・セキュリティ担当者がまずはテスト運用を行う。問題がないことが確認されたら、社内にアナウンスして適用させることになる。
セキュリティパッチと「Microsoft Fix it」の違いは、プログラムのコード部分に修正を加えるかどうかが、ひとつのポイントとなる。セキュリティパッチは、問題となる脆弱性に対して、プログラムを変更して脆弱性をなくすことを目的とする。一方、「Microsoft Fix it」は、発見された脆弱性に対して、システムの設定変更等により脆弱性を回避するものだ。セキュリティ更新プログラムを提供するまで時間がかかる場合、リスクを低減するための一時的な緩和策として提供されることが多い。
アドバイザリ情報には、「Microsoft Fix it」をはじめとする緩和策がアナウンスされており、業務システムなどでセキュリティパッチの適用ができない場合でも、何らかの対策が可能な場合があるため、しっかりチェックしておきたい。
運用や設計段階での留意事項
繰り返しとなるが、古いIEでなければ動かない業務システムの場合、理想はシステム改修を伴っても新しいバージョンに対応させることだ。Microsoftでは、IEのサポートライフサイクルを変更し、2016年1月12日(米国時間)よりOS上で動作する最新版のIEのみサポートするとの指針を示している。旧版IEは、より厳しい環境で利用しなければならなくなってしまう。
最新版への移行が難しい場合、業務システム用のWebブラウザーとインターネットアクセス用のWebブラウザーを使い分けるなど、運用面からリスクを低減させることを検討すべきだ。古いWebブラウザーのアクセスは、プロキシやゲートウェイによってイントラネット内に制限する。またその業務システム専用のパソコンを用意する方法もある。とはいえ、いずれにしても、脆弱性は解消されておらず、リスクが存在することは忘れてはならない。
また今後業務システムの設計や開発を行う場合は、こうした状況をあらかじめ考慮し、IEのバージョンやプラグインなど特定機能に依存する設計を避けることも検討すべきだろう。
近年、ソフトウェアのサポート期間の終了によるビジネスに与える影響が問題となっている。現実には難しいかもしれないが、設計時にOSやアプリケーションのアップデートを考えてしくみを開発プロセスに組み込んでおく「セキュリティバイデザイン」が重要となる。
HTML5の動きについても注意が必要だ。現在、W3CによってHTML5が標準化され対応するWebページやサービスが出現し始めている。HTML5では、これまでと違いHTMLタグに3Dグラフィックスや動画処理機能を仕様として組み込んでいる。
これらの機能はデバイス、GPU、OS、ライブラリなどに依存する部分が増える傾向にある。セキュリティパッチの適用に影響が出る可能性を心に留めておいてほしい。
