誠ブログは2015年4月6日に「オルタナティブ・ブログ」になりました。
各ブロガーの新規エントリーは「オルタナティブ・ブログ」でご覧ください。

Internet Explorerは世界一安全なブラウザらしい

Internet Explorerは世界一安全なブラウザらしい

横山 哲也

グローバル ナレッジ ネットワーク株式会社で、Windows ServerなどのIT技術者向けトレーニングを担当。Windows Serverのすべてのバージョンを経験。趣味は写真(猫とライブ)。

当ブログ「仕事と生活と私――ITエンジニアの人生」は、2015年4月6日から新しいURL「​http://blogs.itmedia.co.jp/yokoyamat/」 に移動しました。引き続きご愛読ください。


●マイクロソフトのセキュリティに対する取り組み姿勢

連休中のIT業界トップニュースは、Intenet Explorer(IE)のぜい弱性についてだろう。

2003年以前のマイクロソフト製品は、正直言ってセキュリティに問題が見られるケースが多々あった。そのため、特に2001年から2003年頃は大規模な攻撃を受けた。主なセキュリティ攻撃だけでも以下のようなものがある。

  • 2001年7月「CODE RED」...Webサーバー機能「IIS(Internet Information Services)」に含まれるインデックスサーバーのぜい弱性を利用した攻撃。攻撃の1ヶ月前に修正プログラムが配布されているが、当時はWindows Updateがそれほど一般的ではなかったせいもあって、大きな被害が発生した。
  • 2001年9月「Nimda(ニムダ)」...複数の感染経路を持ち、短時間で広範囲に感染した。
  • 2003年1月「SQL Slammer」...SQL Serverのぜい弱性を利用した攻撃。6ヶ月前に修正プログラムが配布されていたが、当時SQL ServerはWindows Updateの対象ではなかった。
  • 2003年8月「MS Blaster」...Windowsのネットワーク機能のぜい弱性を利用した攻撃。攻撃の1ヶ月前に修正プログラムが配布されていた。Windows Updateは強制ではなく、やはり大きな被害が発生した。

私がもっともよく覚えているのはMS Blasterで、客先の研修環境を設定中に攻撃された。インストール途中で攻撃されたものだから、セットアップ終盤で全システムが停止し、最初から再インストールを行うことになってしまった。

こうした教訓を経て、マイクロソフトでは「SD3+C」と呼ばれるポリシーを決めた。

  • Secure by Design...設計が安全
  • Secure by Default...既定で安全(特に何もしなくても安全)
  • Secure in Deployment...インストールなどの展開作業や更新が安全
  • Communication...ぜい弱性や更新プログラムの情報が適切なタイミングで伝達できる

インストールが完了するまでファイアウォールが自動的に有効になったのも、このポリシーの一環である。

また、マイクロソフトの全プログラマーにセキュリティを意識したプログラミングに対する教育を義務づけ、開発中の製品を再点検することになった。Windows XP(2002年6月公開)から若干の遅れで登場するはずだったWindows Server 2003が、2003年6月までずれ込んだのはこのためである。

現在でも、マイクロソフト製品にセキュリティ上の問題は発見されるが、2003年以前に比べれば格段に減っているし、問題の発見から解決までの期間も大幅に短縮されている。

マイクロソフト製品の仕様や価格設定、販売戦略などに不満を覚える人は大勢いるが、セキュリティ体制に問題を感じる人はほとんどいないはずだ。もしいたら、その人のマイクロソフト製品に対する理解力は不十分だと考えるべきだろう。また、マイクロソフト製品に対する理解度が低いということは、一般的なクライアントPCの技術力にも問題があると推測できる。

Webサイトの構築を請け負っているような人でも、クライアントPCの知識はほとんどない場合もあるので十分注意して欲しい。たちの悪いことに、自分にクライアントPCの知識がないことに気付いていない人も多いようだ。SNSの発達で、どんな間違ったことでも、自分と同じ意見を持った人を見つけることが出来るようになった。人間は、3人から同じ意見を聞くと、それを本当だと思う習性があるらしいので、自信たっぷりに言われても信用してはいけない。

●Internet Explorerのセキュリティぜい弱性

連休中に明らかになったのは、修正が存在しないぜい弱性で、VGX.DLLを踏み台にした攻撃の実証コードも公開されていたらしい。「実証コード」は、ぜい弱性動作の確認をするためのプログラムで、それ自体は悪意のある動作をしないが、容易に攻撃プログラムに書き換えることが出来るため、攻撃準備が整ったと考えてよい。つまり、「ゼロデイアタック」可能な状態であった。「ゼロデイアタック」とは修正プログラムが登場する前の攻撃のことである。

根本的な解決ができないので、マイクロソフトはいくつかの回避策を公開していた。しかし、いずれも互換性を損なったり、手間がかかったり、別のセキュリティ問題が発生したりする問題があった。そのため、セキュリティに関する第三者機関は「いずれの対策も難しい場合は、IEを使用しないように」との通達を出していた。

どういうわけか、日本のマスコミのほとんどは前段を飛ばして「IEの使用停止を勧告」と報道していたが、何か悪意でもあるのだろうか。

このような混乱の中、マイクロソフトは根本的な修正プログラムを公開した。結果的には、この修正プログラムをインストールして再起動すれば解決である。PCの電源を入れっぱなしにしておけば、連休明けには何事もなかったかのように使うことができる。

ただし 「なんだ、待っていれば良かった」とは思わないで欲しい。実証コードがあるということは、攻撃ツールがそろった、あるいは玄関の鍵が正常に機能していない状態である。 玄関の鍵がきちんと閉まらないことが分かったら、鍵屋さんが来る明日まで待とうとか思わないだろう。ふつうの人は一時的な応急処置をするはずだ。

混乱を招いたことを攻めるのではなく、攻撃可能な状態にあることを明らかにし、いくつかの回避策を提示したマイクロソフトの姿勢は称賛に値するし、素早く修正プログラムが登場したことも評価されるべきである。

もちろん、「他社に比べて遜色ない」ことは「セキュリティ対策として十分である」という意味ではない。マイクロソフト製品の市場シェアを考えると、セキュリティにはさらに力を入れて欲しい。

●Webブラウザのぜい弱性

そんな中、米国の独立系セキュリティ研究機関NSS Labsの調査結果が「Google Safe Browsing APIは無意味?ほか」として紹介されていた。これによると、ソーシャルエンジニアリングを使ったマルウェアの防御率は、他を圧倒してのトップだった。正直、私もここまで差がつくとは思わなかった。一方、人気のあるFirefoxの成績が極めて悪いのも意外だった。

IEには、アクセス先のWebページを解析してフィッシングの疑いがあれば警告を出す機能がある。また、フィッシングサイトを登録したデータベースとの照合を行う機能もある。このあたりが高評価の要因なのだろう。なお、IE7が出た頃には、フィッシングのデモサイトが用意されていたので、画面ショットをお見せしようと思ったが、現在では機能していないようである。

Windows Vistaから導入された新しいセキュリティモデル「整合性レベル」も、Google社のWebブラウザChromeは使っているようだが、Firefoxが使っていることは確認できなかった(使っていると記載した文書もある)。

●では、何をすればいいのか

セキュリティに関する解説は難しいことが多い。特に、今回の回避策はいずれも副作用があり、どれを選択するか迷った人も多いだろう。そもそも理解できなかった人の方が多いかもしれない。

実は、どうしても分からない場合の次善の策は「何もしない」ことである。マイクロソフトの製品は「Secure by Default」、つまり何もしなくても安全な状態が目標である。下手に設定を変えるよりも、何もしない方が良い。

インターネットを検索すると、「パフォーマンスを上げるためにWindows Updateを停止しろ」だとか、「互換性を損なうので修正プログラムはインストールするな」とか、特殊な状況で使われるテクニックを推奨する記事がたくさん見つかる。理解して設定するなら良いのだが、設定変更の結果がどのような影響を及ぼすのか、そもそもなぜ最初からその設定になっていないのか(誰にとっても良い設定なら最初からそうなっているはずである)が理解できないのであれば、やめた方がいいだろう。

それにしても、一度ついたイメージはなかなか落ちないものである。マイクロソフトがセキュリティを最優先する体制になってから10年以上経過したのに、いまだに問題視されている。難しいものである。

【追記】訂正と補足

リンク先まで読んでいただければ分かるとおり「NSL Labs」は「NSS Labs」の間違いです。本文を修正しました。

「待てば良かったと思わないで欲しい」と「何もしないのが次善の策」とあるので、結局どうすればいいのかというコメントをいただきました。最善策はマイクロソフトの公開した回避策を実行することで、次善の策は何もしないことだと私は考えています。

また、本文を読めば分かるようにNSS Labsの報告は「ソーシャルエンジニアリングを使ったマルウェアの防御率」であり、その他のぜい弱性については触れていません。「世界一安全なブラウザ」は一種の「釣りタイトル」で遊んでみたのですが、全く通じなかったようなのでお詫びして補足しておきます。

●今週のおまけ: YMCA作戦

今週のおまけは、前にも登場したシンガーソングライターの風見穏香(かざみしずか)さん。最近、不登校児童の家庭教師もしているらしい。

一度「不登校」のレッテルを貼られた子供が、もう一度自身を取り戻すのは大変なことだが不可能ではない。

風見穏香
▲今週のおまけ写真「風見穏香(かざみしずか)」(シンガーソングライター)

6月6日にCD全国販売、といってもその意味は「取り寄せができる」という意味だそうで、店頭販売作戦(コード名「YMCA」)を展開中。