IEに致命的な脆弱性発覚！ サポート終了直後でWindows XP用IE向けの修正パッチは出るのか？【デジ通】

つい先日、マイクロソフトはWebブラウザのInternet Explorer（以下、IE）のバージョン6から11まで、現状稼働していると思われるほぼすべてのIEに、非常にクリティカルな脆弱性があることを公表した。

すべてのIEに影響するというのは、Windows Vista/7/8/8.1そしてWindows Server 2003および2008、さらにWindows RTといったサポート期限が切れていないOS用のIE全部という意味だ。

各OSごとに修正プログラム（いわゆる対応パッチ）は、それぞれのOSごとに準備されている最中で準備ができ次第提供されることになっている。ここでこの脆弱性を抱える対象となっているOSとは、現在サポートしているすべてのWindowsとなっている。ただし、先日サポートが終了したWindows XPは含まれていない。だが、おそらくWindows XPのIEでも同様の問題を抱えていることは間違いないだろう。サポート期限が切れているということも含め、Windows XP+IEの組み合わせが最も危険な状態だと言える。

Webブラウザが抱える問題ではあるが、IEのコンポーネントはWindowsの他のアプリからも呼び出せるようになっている。具体的にはメールソフトにおけるHTMLメールの表示でIEコンポーネントが呼び出されたりするわけだ。このため、IEを使用していなくてもこの脆弱性の影響を受ける可能性がある。Outlookなどのメールクライアントは、標準でセキュリティの高い「制限付きサイトゾーン」という設定になっているのでHTMLメールを表示しても直接問題が発生する可能性は低い。しかし、この設定を変更しているというのであれば、設定を見直しておくこと。セキュリティを低く変更している場合、メールのリンクをクリックしてIEでサイトを表示した際に問題が発生する可能性は非常に高い。

■当面の対応はIEを利用しないこと
この危険な状態でなるべく被害を受けないようにするには、それぞれのOSに向けた修正プログラムが提供されるまではIEを使用しないことだ。しかし、直接IEを使用しなくても前述のように、IEのコンポーネントを利用するソフトも多いため完全に危険をなくすことはできない。

なお、この問題に多雨する対策だが、マイクロソフトののセキュリティアドバイザリ2963983に詳しく説明されている。いま現状で対応パッチが完成していない状況にも関わらず、攻撃方法が有効ということは、銃を持っている攻撃者に素手で戦いを挑むような状態になっていると言えるだろう。セキュリティ上、こういう状況を
「ゼロデイ脆弱性」と呼び、非常に危険な状態である。

■Windows XP向けの修正プログラムは？
先述したようにマイクロソフトの公表しているアドバイザリによると、対象のOSバージョンは、Windows全バージョン（ただし、サポート期限が残っているWindows）が対象となっている。つまりサポートが終了したWindows XPについての説明はされていない。ただ、Windows XP向けIEだけが脆弱性を持たないはずがないわけで、サポート期限が切れるというのは、こういうことなんだということが、今回はっきりわかったわけだ。

そしてWindows XPはサポートが終了しているため、修正プログラムがリリースされることはないだろう。Windows XPユーザーはこの脆弱性を抱えたまま使い続けることになる。サードベンダーがXP向けの修正プログラムを出すとも思えず、マイクロソフトが大盤振る舞いで修正プログラムを出してくれることを祈るしかないだろう。なおサポート期間中のWindowsならWindows Updateで修正プログラムが配布されるので、あまり意識せずに対応を行うことが可能だ。XPの利用はあきらめてWindows Vista以降のOSを使うことをおススメしたい。「それでもアナタはWindows XPを使い続けますか？」

上倉賢 @kamikura [digi2(デジ通)]

■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook

■デジ通の記事をもっと見る
・NECがパソコン夏モデル発表！　なんと応募者全員に1万円相当のプレゼントキャンペーンも開始
・注目度は抜群！　日本でもようやくウェアラブルデバイス普及の兆し
・縦長動画増加の理由　デジカメ以上にスマホに食われつつあるビデオカメラ
・スマホよりも高画質！イメージセンサーのサイズが1/1.7インチのコンデジたち
・デジカメの選択ポイント！画素数が同じならセンサーサイズの大きさに注目せよ