今このブログ記事を PC から読んでいる皆さん、ご使用の Windows のバージョンはなんでしょうか?もう XP やそれ以前の OS をご使用の方はいないと信じていますが、Windows Vista、Windows 7、Windows 8.1 の方々はすぐにご使用の Internet Explorer(IE)のバージョンを確認し、最新ではない以前のバージョンをご使用の場合はすぐにアップデートを行うことをお勧めします。2016年1月13日以降マイクロソフト社のサポートポリシーが変更され、サポート対象が「各オペレーションシステムの最新版の IE のみ」となります。つまり、「最新版」でない古いバージョンはサポート終了する、ということです。
| OS のバージョン | IE のバージョン |
| Windows Vista SP2 | Internet Explorer 9 |
| Windows 7 SP1 | Internet Explorer 11 |
| Windows 8 | ※ Windows 8.1 へアップデートが必要 |
| Windows 8.1 Update | Internet Explorer 11 |
| Windows Server 2008 SP2 | Internet Explorer 9 |
| Windows Server 2008 R2 SP1 | Internet Explorer 11 |
| Windows Server 2012 | Internet Explorer 10 |
| Windows Server 2012 R2 | Internet Explorer 11 |
この表はそれぞれの Windows環境における「最新の」IE のバージョンです。各OS上でこれより古いバージョンの IE は 1月12日でサポート終了となります。クライアントOS に絞れば、Vista のみが IE9 でそれ以外は IE11 が最新となります。ここで IE とは別に注意すべきは Windows 8 です。Windows Vista の延長サポートが 2017年4月まで続く一方で、Windows 8 のサポート期間は 2016年1月12日で終了するため、Windows8.1以上へのアップデートが必要です。IE同様速やかにアップデートを行うことをお勧めします。
■使用Windowsバージョンと IEバージョン
トレンドマイクロの 2015年11月末時点での調査によれば、日本国内における調査に同意したトレンドマイクロ製品の個人利用者、およそ 332万人のうち、約17% が最新OS である Windows 10 の使用者でした。使用割合が最も多いのは Windows 8.1 で、その割合は全体の 42.8%、使用者は 142万人となっています。
また、リスクの高い古い OS では、すでにサポート終了済みの Windows XP の使用者は全体の 1.1% でおよそ 3万7千人、2017年4月にサポートが終了するまで IE9 を使用し続ける Windows Vista の使用者は、およそ 19万人で全体の 5.8% を占めました。1月12日にサポート終了する Windows8 の使用者は全体の 0.5% でおよそ 1万7千人でした。
図1:国内の個人利用者における使用Windowsバージョンの割合
これらの各OS における最新IEの使用率は高く、すべての OS ではその 90%以上の利用者の環境で、すでにその OS における最新の IE が使用されていました。この点では個人利用者における使用アプリケーションの更新意識は高く、あまり危険はないように思えます。ただし絶対数で言った場合、Windows7 における IE11 よりも古い IE の使用者はおよそ 8万7千人となり、リスクとしては低くないと言えます。
図2:日本国内の Windows7使用者における使用IEバージョンの割合
■IE の脆弱性を狙う攻撃
Web改ざん、不正広告といった正規サイト汚染を発端とする攻撃では、脆弱性攻撃ツール(エクスプロイトキット)の使用が常套手段となっています。エクスプロイトキットでは、IE、Adobe Flash(Flash)、Java など複数の脆弱性が同時に攻撃に利用されます。攻撃される脆弱性のうち、1つでもアップデートを怠っていた場合には利用者の操作のいかんに関わらず、不正プログラムが感染します。以下の表は 2014年から 2015年にかけて確認された、エクスプロイトキットによって攻撃が可能になっていた IEの脆弱性、および IE経由で攻撃可能な Windows の脆弱性の一覧です。
| CVE番号 | Microsoft セキュリティ更新プログラム番号 |
| CVE-2013-2551 | MS13-037 |
| CVE-2013-3918 | MS13-090 |
| CVE-2014-0322 | MS14-012 |
| CVE-2014-6332 | MS14-064 |
| CVE-2015-2419 | MS15-065 |
| CVE-2015-2425 | MS15-065 |
| CVE-2015-2444 | MS15-079 |
これによれば、毎年2~3個の IE に関する致命的な脆弱性がエクスプロイトキットによって攻撃可能になっていることがわかります。これらの攻撃に利用されやすい危険な脆弱性はすべて、複数のバージョンのIEに影響するものとなっていますが、必ずしも最新バージョンのみが影響を受けるものではありません。例えば、CVE-2014-0322 の「Internet Explorer のメモリ破損の脆弱性」に関しては、当時最新の IE11 では影響がなく、IE9~10 でのみ影響があるというものでした。
このような場合でも、これまではマイクロソフト社が各OS上で使用可能な複数のバージョンの IE について脆弱性の影響を確認し、セキュリティ更新プログラムを用意してきました。しかし、今回のポリシー変更により、今後新たに発生した脆弱性に関しては各OS での最新バージョンの IE についてのみ、影響の確認とセキュリティ更新プログラムの配布が行われることになります。当然先に例に挙げた CVE-2014-0322 のような以前のバージョンの IE にのみ影響する脆弱性の場合には、セキュリティ更新プログラムは用意されないことになるでしょう。
■被害に遭わないために
前述の通り、攻撃者はエクスプロイトキットを使用し、複数の脆弱性をすべて利用した攻撃を仕掛けています。このような脆弱性を利用した攻撃に遭うリスクを下げるために最も効果的なことは、アプリケーションのアップデートを必ず行うことです。脆弱性を利用する攻撃は、その脆弱性が修正されていない環境では大きな被害をもたらしますが、すでに脆弱性が修正されている環境では何の影響も及ぼせません。2015年1~9月にトレンドマイクロが複数のエクスプロイトキットについて調査したところ、修正プログラムの公開からおよそ 7日間(中央値)で攻撃可能になっていることがわかりました。つまり、脆弱性が確認され修正プログラムが出てから、1週間以内にはアップデートを行っているべき、ということが言えます。OS や使用アプリ、特に今回触れたIEをはじめ、Flash、Java などの Web閲覧時に使用されるアプリのアップデートを徹底することを推奨します。
■トレンドマイクロの対策
法人向けクライアント対策製品「Trend Micro Virtual Patch for Endpoint」の「推奨設定検索」機能ではご使用のクライアント内のアプリケーションの状況を確認し、脆弱性に対する推奨フィルタを自動的に適用します。これにより、クライアントにどのような脆弱性が存在するかも確認することができます。
個人向けクライアント対策製品「ウイルスバスター クラウド」の「修正プログラムとセキュリティ設定の確認」機能では、Adobe Reader、Java のバージョンをチェックし、適用可能な修正プログラムがある場合、適用を促します。