■趣旨

既にニュースにもなっていますが、マイクロソフトのInternetExplore(インターネットエクスプローラー・IE)で最悪深刻度のセキュリティ上の欠陥が見つかりました。ただこれはInternetExploreだけの問題ではありません。対策は、InternetExploreの使用を控え、他のWebページ閲覧ソフト(ブラウザ)を使うことと、マイクロソフトのメール送受信ソフト(Outlook、Outlook Express、Windows メール)を使用しないことが最良策ですが、現実的には難しいと思われます。リスクを軽減する策などをご紹介します。

■リスクの概要

InternetExploreで悪意のあるWebページの閲覧や、
OutlookやWindowsメールで悪意のあるHTML文章のメールを閲覧すると、
攻撃者が現在のユーザーの権限を取得し、不正なプログラムを実行します。


■改善策① 最良な方法(2つとも実施)

・InternetExploreの使用を控え、他のWebページ閲覧ソフト(ブラウザ)を使用する。
・Microsoft Outlook、Microsoft Outlook Express および Windows メール以外のメール送受信ソフトを利用する。


■改善策② 主なリスクを緩和する方法:

1)HTML形式の電子メールを受信しない。(*1)
2)安全性が確認できていないサイトにはアクセスしない。
  怪しいサイトやこれまでアクセスしたサイトにはアクセスしない。
3)インターネットおよびローカル イントラネット セキュリティ ゾーンの設定を「高」に設定する。(*2)
4)ユーザ権限が低い設定のアカウントに変更する。

補足
*1 具体的な設定方法は次のサイトが参考になります。
  NEC 121ware Outlook 2010で受信したメールをテキスト形式で表示する方法

*2 具体的な設定方法
  • Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
  • [インターネット オプション] ダイアログ ボックスで、[セキュリティ] タブをクリックし、次に [インターネット] をクリックします。
  • [このゾーンのセキュリティのレベル] の下のスライダーのつまみを「高」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが「高」に設定されます。
  • [ローカル イントラネット] をクリックします。
  • [このゾーンのセキュリティのレベル] の下のスライダーのつまみを「高」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが「高」に設定されます。
  • [OK] をクリックし、変更を許可し、Internet Explorer に戻ります。

■参照元の詳細情報

JVAというソフトウェアの脆弱性情報を提供している公の機関で、
今回のインターネットエクスプローラーの脆弱性が最悪深刻度である10.0(IPA値)を示しました。

JVA Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性

また、この脆弱性に関するマイクロソフトの発表はこちらです。



ご不明な点などございましたら、お気軽にご相談ください。


---------------------------------------------------------------------------
追記:
5/2に次のセキュリティプログラムがリリースされました。
Windows Update の自動更新を有効にされている場合は、自動的にインストールされますので、
その場合は特に行うことはありません。

Internet Explorer 用のセキュリティ更新プログラム (2965111)
https://technet.microsoft.com/ja-jp/library/security/ms14-021