Hebikuzure's Tech Memo

2014年4月29日

Internet Explorer の脆弱性により、リモートでコードが実行される

Filed under: Internet Explorer — hebikuzure @ 11:42 PM

マイクロソフト セキュリティ アドバイザリ 2963983 Internet Explorer の脆弱性により、リモートでコードが実行される
https://technet.microsoft.com/ja-jp/library/security/2963983


Internet Explorer の脆弱性を利用したゼロデイ アタックが観測され、それに対するセキュリティ アドバイザリが公開されています。

「ゼロデイ」とは、製品のベンダーが脆弱性に対する修正を公開する前に、その脆弱性が公になってしまう状態の事を示します。ゼロデイ アタックとは製品のベンダーが未公開・未修正の脆弱性を利用した攻撃です。

観測されている攻撃は Internet Explroer 9 以降の比較的新しいバージョンを対象にしたものですが、脆弱性自体はそれ以前のバージョンにも存在しており、(まだサポートが終了していない Windows Server 2003 用の) IE6 でも同じ問題がある事がセキュリティ アドバイザリで明らかにされています。現時点での攻撃は限定的のようですが、脆弱性の存在が明らかになった以上、早晩より広範囲に影響のある攻撃やウイルス/ワームが出回るのは必至と考えられます。

Microsoft はこの問題を改善するための修正プログラムの作成を進めており、時を置かず Windows Update を通じて更新プログラムが配布されるはずです。またそれまでの間、利用者はいくつかの回避策を取ることができます。ここではユーザーが現時点でどのように対策を取ればよいか、まとめてみました。

日本マイクロソフトのセキュリティ チームからも回避策のまとめが公開されています。本記事と重複する部分もありますが、こちらも参照してください。
[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される

Windows XP を利用している場合

そもそもサポートが終了していて修正プログラムの提供も予定されていないので、早急により新しいバージョンの Windows への移行を検討すべきです。どうしてもすぐに Windows XP 自体の利用を停止できない場合は、一時的に Internet Explroer 以外のブラウザー (ChromeFirefoxOpera) を利用する事で問題を回避できます。Internet Explorer の利用がどうしても必要な場合は、後述の EMET を利用するか、攻撃に利用されるモジュールを無効にするべきでしょう。

Windows Vista を利用している場合

EMET を利用する事で脆弱性を利用した攻撃が回避できる事が確認されています。また攻撃に利用されるモジュールを無効にする方法も有効です。
それとは別に、管理者権限を持つユーザーでログオンせず、非管理者ユーザーで利用するという方法も、攻撃を受けた際の影響を低減します (Windows Vista 以降は UAC が利用できるので、非管理者でのログオン/利用が XP 以前に比べて容易です)。

Windows 7 を利用している場合

Windows Vista の場合と同様に、EMET を利用する事で脆弱性を利用した攻撃が回避できる事が確認されています。また攻撃に利用されるモジュールを無効にする方法も有効です。
管理者権限を持つユーザーでログオンせず、非管理者ユーザーで利用するという方法も、攻撃を受けた際の影響を低減します。
また 64 ビット版の Windows と Internet Explorer 10/11 を利用している場合は、Internet Explorer の拡張保護モードを有効にして Internet Explorer の全プロセスを 64ビット化する事により、現在行われている攻撃を回避できます。

Windows 8 / 8.1 を利用している場合

Windows Vista の場合と同様に、EMET を利用する事で脆弱性を利用した攻撃が回避できる事が確認されています。また攻撃に利用されるモジュールを無効にする方法も有効です。
管理者権限を持つユーザーでログオンせず、非管理者ユーザーで利用するという方法も、攻撃を受けた際の影響を低減します。
また Internet Explorer の拡張保護モードを有効にしてデスクトップ版の Internet Explorer を AppContainer 内で実行する事により、攻撃を回避できます (スタート画面の Internet Explroer は常に拡張保護モードが有効となり、すべて AppContainer 内で実行されます)。


EMET を利用する

EMET (Enhanced Mitigation Experience Toolkit) は Microsoft が無償で提供している、セキュリティ強化ツール (Windows 上のプログラムの動作自体を変更して、悪意のあるプログラムの実行を防止するツール) です。EMET は以下のページ内のリンクからダウンロードできます。最新版は EMET 4.1 で、次期バージョン (EMET 5.0) が Technical Preview 版でテスト中です。4.1、5.0 どちらを利用しても構いませんが、実運用環境にインストールするのであれば 4.1 の方が良いでしょう。

EMET の利用方法についてはこちらの記事 (エメット(EMET)、していますか?) に解説されていますが、ダウンロードしたインストーラーを実行してインストール後、推奨設定でインストールを完了すれば OK です。

問題は、EMET は Windows 自体のセキュリティを強化する反面、一部のプログラム (特に古いプログラム) との互換性に問題を生じる場合がある事です。推奨設定であれば問題が起きる可能性は低い物の、利用したいプログラムが EMET をインストールすると正しく動作しなくなるような場合は、日本語版ユーザーガイドを参照して設定を調整する必要があります。設定方法が分からない、あるいは設定を変えてもどうしてもプログラムが正常に動作しない場合は、EMET の利用を断念するか、しばらくプログラムの利用を避けるかの判断をしましょう。

副作用の影響を受ける可能性はありますが、今回の脆弱性だけでなく今後の新規の脆弱性に対しても大きな効果が期待できるので、特に Windows 8/8.1 以外の環境ではできる限り EMET の利用をお勧めします。

攻撃に利用されるモジュールを無効化する

今回の脆弱性を狙った攻撃は、Flash Player と VML という二つの機能を利用しています。従ってこの二つの機能に関するモジュールを無効にする事で、攻撃を回避できます。

Flash Player の無効化は以下の手順で行えます。無効にすると、当然 Flash の再生/表示ができなくなります。そのためこちらではなく VML モジュールの無効化の方がお勧めです。

  1. Internet Explroer を起動し、[ツール] ボタン (歯車マーク) から [アドオンの管理] を選択します
  2. [アドオンの表示と管理] で、"Shockwave Flash Object" を見つけてクリックします。見つからない場合は、右側の [表示] を [すべてのアドオン] に切り替えてください
    ManageAddon
  3. [無効にする] をクリックし、[閉じる] をクリックします。
  4. 有効に戻す場合は、同じ手順で "Shockwave Flash Object" を選択し、[有効にする] をクリックします。

VML モジュールの無効化は以下の手順で無効にできます。VML は Web では一般的なテクノロジーではないため通常の Web サイトで利用されている事が少なく、また Internet Explorer 9 以降には同様のベクター グラフィックを表示する Web 標準テクノロジーである SVG が搭載されているため、無効にした場合に直接的な影響が出る事は少ないと考えられます。

  1. コマンド プロンプトを管理者権限で開きます
  2. "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
    と入力します
  3. [Enter] を押してコマンドを実行します
  4. ダイアログ ボックスに、無効化のメッセージが表示されます。[OK] をクリックして、ダイアログ ボックスを閉じます

後からこのモジュールを有効に戻したい場合は、以下の手順を実行します。

  1. コマンド プロンプトを管理者権限で開きます
  2. "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
    と入力します
  3. [Enter] を押してコマンドを実行します
  4. ダイアログ ボックスに、有効化のメッセージが表示されます。[OK] をクリックして、ダイアログ ボックスを閉じます

拡張保護モードを有効にする

Internet Explorer 10 / 11 で拡張保護モードを有効にするには、以下の手順を実行します。

  1. Internet Explroer を起動し、[ツール] ボタン (歯車マーク) から [インターネット オプション] を選択します
  2. [詳細設定] タブに切り替えます
  3. [設定] の [セキュリティ] セクションで、[拡張保護モードを有効にする] を見つけ、チェックをオンにします
  4. 64ビット版の Windows 8.1 の場合は [拡張保護モードで 64 ビット プロセッサを有効にする] も有効にします
  5. [OK] をクリックして [インターネット オプション] を閉じます
  6. Internet Explorer をすべて終了し、再度開きます

その他の回避策

その他の回避策や緩和策がセキュリティ アドバイザリに紹介されています。併せて参照してください。

参考資料

広告

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

WordPress.com で無料サイトやブログを作成.

%d人のブロガーが「いいね」をつけました。