ICHIRO BLOG引っ越しました

山本一郎です。秋になって胃腸に脆弱性を感じています。

ところで数日前、IEに脆弱性のあることがMicrosoftから発表されました。

Internet Explorer の脆弱性により、リモートでコードが実行される（マイクロソフト 2013/9/18）

マイクロソフトは、すべてのサポートされているバージョンの Internet Explorer に存在する脆弱性についての公開された報告を調査中です。マイクロソフトは、Internet Explorer 8 および Internet Explorer 9 に存在するこの脆弱性を悪用しようとする標的型攻撃を確認しています。Microsoft Fix it ソリューション「CVE-2013-3893 MSHTML Shim の回避策」を適用すると、この問題の悪用を阻止できます。詳細情報は、「推奨するアクション」を参照してください。

おそらく英語の原文をそのまま直訳したのでしょうが、非常に難解な文体の上、この概要を読むだけだとIE8/9のみの問題に見えますが、実際には現行で正規サポートされているIE6～11の全てが影響を受ける問題です。

この件については、各ITニュース系サイト等でも報道されており、マイクロソフトの技術的なリリース文よりはもう少しだけわかりやすい言葉で状況を確認できます。

IEの未解決の脆弱性を突く攻撃発生、MSがセキュリティ情報を公開（ITmedia 2013/9/18）
IEにゼロデイ脆弱性、マイクロソフトがセキュリティアドバイザリを公開（INTERNET Watch 2013/9/18）
IEに深刻な脆弱性、修正プログラムは未提供、すでに被害も発生（ITpro 2013/9/19）

米マイクロソフトは9月18日、同社のWebブラウザー「Internet Explorer（IE）」に、悪意を持った第三者がワナを仕掛けたWebサイトにアクセスしてしまうと、不正なコードを実行させられる脆弱性があると発表した。修正プログラムはまだ提供されておらず、攻撃を回避するためにはマイクロソフトが提供するツールをインストールする必要がある。ITpro

IEユーザーの絶対数は非常に大きいわけですが、他のブラウザユーザーに比べてITリテラシがそれほど高くない層の占める割合も高いと考えられます。そういうユーザーに対して、今回の脆弱性に関する告知がうまく行われているのだろうかということがやや気になります。

Microsoftとしては「現在この問題について調査を進めており、調査が完了次第、セキュリティ更新プログラム（修正パッチ）の提供など適切な措置を講じる」（INTERNET Watch）そうですが、修正プログラムが提供されるまでは別途用意されているツールなどを利用して、ユーザー自身が任意で防衛するしかありません。こうした対応は、PCがまだ特殊な装置であった時代であればそれで良かったのかもしれませんが、誰もが日常生活で利用するちょっと便利な機械程度になってしまった現在において、はたしてそれで良いのだろうかと感じるところがあります。

まあ、多くの一般ユーザーは今後PCからスマホやタブレットといったプラットフォームへどんどん移行していく時代なので、PCは分かる人だけ使えばいい時代がまたやって来るのかもしれませんが、今の時点ではもう少し普通の人にもセキュリティのことが分かりやすい施策が打ち出されると、サイバー事件の被害も減るのじゃないかなと思った次第です。

とりあえず、現時点でIEを使うのはそれなりにリスキーだということぐらいは、テレビや新聞などの一般報道メディアでもニュースとして取り上げられると良いのですが。