WWW Watch

ドイツ政府が IE からの乗り換えを推奨

Mashable の記事によると、ドイツ政府におけるコンピュータ、通信のセキュリティ担当部門である 「BSI (Bundesamt für Sicherheit in der Informationstechnik)」 が公式に発表したプレスリリース内で、Internet Explorer の脆弱性について触れ、セキュリティのためにはこの脆弱性が修正されるまで IE を使わない方が安全と、IE 以外のブラウザへの (一時的な) 乗り換えを推奨しています。

Internet Explorer 6Twitter でもつぶやきましたが、Mashable の記事によると、ドイツ政府におけるコンピュータ、通信のセキュリティ担当部門である 「BSI (Bundesamt für Sicherheit in der Informationstechnik)」 が公式に発表したプレスリリース内で、Internet Explorer の脆弱性について触れ、セキュリティのためにはこの脆弱性が修正されるまで IE を使わない方が安全と、IE 以外のブラウザへの (一時的な) 乗り換えを推奨しています。

先日、Google とその他米国企業数十社に対するサイバー攻撃に IE の脆弱性が利用されたことを受けてのプレスリリースですが、記事内にはこのリリースを英訳したものが掲載されています。ブラウザの乗り換えを推奨している部分を抜き出してみます。

Running the Internet Explorer in 'protected mode' as well as disabling scripting Acitve Although more difficult to attack, but it can not completely prevented. Therefore, the BSI recommends to switch to the existence of a patch from Microsoft to an alternative browser.

German Government: Stop Using Internet Explorer

原文は下記。ドイツ語なので私は読めませんが…

Das Ausführen des Internet Explorer im „geschützen Modus" sowie das Abschalten von Acitve Scripting erschwert zwar die Angriffe, kann sie jedoch nicht vollständig verhindern. Deshalb empfiehlt das BSI, bis zum Vorliegen eine Patches von Microsoft auf einen alternativen Browser umzusteigen.

Kritische Sicherheitslücke im Internet Explorer : BSI

セキュリティパッチが提供されるまではという前提とはいえ、政府の立場から 「IE 使わない方がいいよ」 と乗り換えを推奨することでブラウザのシェアにも影響を与えそうですね。

※何年か前にもアメリカの US-CERT (United States Computer Emergency Readiness Team) が IE 使うの危険だよという警告を出したことがありましたが、その時も Firefox のダウンロード数が急増したなんてことがありました。

ちなみに、今回のリリースのきっかけになっている Google その他企業に対するサイバー攻撃に関しての記事は下記。

なお、この脆弱性に関しては Microsoft からアドバイザリ(Microsoft Security Advisory (979352))が提供されていますが、それを伝えるニュース記事から引用すると、

Microsoftによると、この攻撃にはIEがターゲットの1つとして利用されており、リモートでコードが実行される脆弱性が存在するとしている。

脆弱性の影響を受ける環境は、Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003上のIE6/7/8と、Windows 2000上のIE6。なお、Windows 2000上のIE5.01は脆弱性の影響は受けない。

このうち、今回の攻撃ではIE6しか利用されておらず、IEの他のバージョンに対する攻撃は今のところ確認されていないとしている。現在、Microsoftではアップデートを開発中で、品質が確保され次第公開するとしている。

Microsoftでは、アップデートを提供するまでの間、攻撃の影響を緩和するための方法をいくつか挙げている。

Windows Vista以降のIE7にはプロテクトモードが組み込まれており、これを利用することで今回の脆弱性を緩和できるとしている。DEP(Data Execution Prevention)機能は、IE8ではデフォルトで機能しているが、これ以前のバージョンでは手動で設定する必要がある。この機能もまた、攻撃を緩和するために有効だ。

Googleへの攻撃にIEのゼロデイ脆弱性、MSがアドバイザリを公開 : INTERNET Watch

簡単に言えば、「Windows 2000 上の IE5.01」 以外は全部攻撃対象になり得るということなので、IE8 では DEP である程度安全とはいえ、IE 使わない方が確実という結論になるのもわかる気がします。

欧州では元々日本などと比べても IE のシェアは低く、Firefox など他のブラウザに徐々にシェアを奪われている状況ではありますが、その流れがさらに加速するかもしれません。どういう影響が出るのかちょっと注目したいです。

参考リンク

2009年10月~12月の「欧州」ブラウザ別シェア

個人的には他ブラウザへの乗り換えもいいのですが、これを機に IE6 や 7 といった古いバージョンの IE が最新版の IE8 に切り替わってもらえるのを期待したいです。

[1月19日 追記]
フランスでも同じ動きがあったみたいですね。

Recent Entry

全ての記事一覧を見る

Hot Entry

逆引きおすすめエントリー