Internet Explorerのゼロディ脆弱性への対応策

米マイクロソフトは4月26日(米国時間)、Internet Explorer 6～11に脆弱性が見つかり、その脆弱性を狙った攻撃も検知していることを明らかにしたが、あわせてその回避策も公開しているので紹介したい。

今回明らかになったInternet Explorerの脆弱性を悪用すると、Internet Explorerの現在のユーザーのふりをして任意のコードを実行したり、ユーザーを不正なコンテンツが仕掛けられたWebサイトへ誘導したりすることが可能になる。

マイクロソフトは調査が完了したら対応策を提供するとしているが、当座の回避策をいくつか紹介している。

1つ目の回避策が、EMET(Enhanced Mitigation Experience Toolkit)4.1の適用だ。EMETは脆弱性の悪用を困難にする保護レイヤーを追加することによって、その脆弱性の悪用防止に役立つ。正式にサポートされているバージョンは4.1で、現時点では英語版のみで提供されている。

EMET 4.1のツールキットには、既存の脆弱性を悪用する技術を中断させることを目的とした複数の疑似緩和技術が含まれ、これらの緩和策は、攻撃者が新たな技術を使い始めたら、簡単に更新できるよう設計されている。このツールキットは、PKIを悪用しようとする中間者攻撃を検出する目的で、設定可能なSSL/TLS証明書を固定する「証明書信頼」と呼ばれる機能を備えている。

EMET 4.1のインストールは、ダウンロードサイトから入手した「EMET Setup.msi」というファイルを実行すればよい。ただし、.NET Framework 4.0が必要なため、事前にインストールしておきたい。

EMET 4.1のダウンロードサイト

推奨構成でEMET 4.1を利用する場合、Internet Explorerを保護できるよう自動的に構成されるため、追加の手順は不要だ。

EMET 4.1をインストールしている時に「Use Recommend Settings」(推奨設定を利用する)というメッセージが出る

2つ目の回避策は、インターネットおよびローカル イントラネット セキュリティ ゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトをブロックすることだ。

セキュリティゾーンの変更は、 [ツール] メニューの [インターネット オプション] －[セキュリティ] タブの [インターネット]ゾーンで、[このゾーンのセキュリティのレベル] を「高」に設定すればよい。

Internet Explorerの [ツール] メニューの [インターネット オプション] －[セキュリティ] タブの [インターネット]ゾーンの設定

なお、セキュリティ レベルを「高」に設定すると、Web ページが正しく動作しない場合がある。この場合、そのサイトが安全だと確信できるならば、そのサイトを [信頼済みサイト] に追加する。

また、Webサイトの中には、ActiveX コントロールおよびアクティブ スクリプトを用いて追加の機能を提供することがあるため、Webサイトが正しく使えなくなる可能性がある。よって、ActiveX コントロール／アクティブ スクリプトをブロックしたくない場合、対象のWebサイトが信頼できるなら、Internet Explorerの「信頼済みサイト ゾーン」に追加する。

Internet Explorer 11の場合、セキュリティの詳細設定で拡張保護モードを有効にすることで、この脆弱性が悪用されないように保護できる。具体的には、 [ツール] メニューの [インターネット オプション] ダイアログ ボックスで、[詳細設定] タブをクリックし、設定の一覧の [セキュリティ] セクションで、[拡張保護モードを有効にする] および [拡張保護モードで 64 ビット プロセッサを有効にする] (64 ビット システムの場合) の横のチェック ボックスをオンにすればよい。