ドイツ政府が IE からの乗り換えを推奨

Mashable の記事によると、ドイツ政府におけるコンピュータ、通信のセキュリティ担当部門である「BSI （Bundesamt für Sicherheit in der Informationstechnik）」が公式に発表したプレスリリース内で、Internet Explorer の脆弱性について触れ、セキュリティのためにはこの脆弱性が修正されるまで IE を使わない方が安全と、IE 以外のブラウザへの（一時的な）乗り換えを推奨しています。

公開日: 2010-01-16 14:31
更新日: 2014-02-07 09:29

Internet Explorer 6 Twitter でもつぶやきましたが、Mashable の記事によると、ドイツ政府におけるコンピュータ、通信のセキュリティ担当部門である「BSI （Bundesamt für Sicherheit in der Informationstechnik）」が公式に発表したプレスリリース内で、Internet Explorer の脆弱性について触れ、セキュリティのためにはこの脆弱性が修正されるまで IE を使わない方が安全と、IE 以外のブラウザへの（一時的な）乗り換えを推奨しています。

German Government: Stop Using Internet Explorer

先日、Google とその他米国企業数十社に対するサイバー攻撃に IE の脆弱性が利用されたことを受けてのプレスリリースですが、記事内にはこのリリースを英訳したものが掲載されています。ブラウザの乗り換えを推奨している部分を抜き出してみます。

Running the Internet Explorer in 'protected mode' as well as disabling scripting Acitve Although more difficult to attack, but it can not completely prevented. Therefore, the BSI recommends to switch to the existence of a patch from Microsoft to an alternative browser.

German Government: Stop Using Internet Explorer

原文は下記。ドイツ語なので私は読めませんが…

Das Ausführen des Internet Explorer im „geschützen Modus" sowie das Abschalten von Acitve Scripting erschwert zwar die Angriffe, kann sie jedoch nicht vollständig verhindern. Deshalb empfiehlt das BSI, bis zum Vorliegen eine Patches von Microsoft auf einen alternativen Browser umzusteigen.

Kritische Sicherheitslücke im Internet Explorer : BSI

セキュリティパッチが提供されるまではという前提とはいえ、政府の立場から「IE 使わない方がいいよ」と乗り換えを推奨することでブラウザのシェアにも影響を与えそうですね。

※何年か前にもアメリカの US-CERT (United States Computer Emergency Readiness Team) が IE 使うの危険だよという警告を出したことがありましたが、その時も Firefox のダウンロード数が急増したなんてことがありました。

ちなみに、今回のリリースのきっかけになっている Google その他企業に対するサイバー攻撃に関しての記事は下記。

Googleへのサイバー攻撃はIEの脆弱性を悪用―McAfeeが調査： ITmedia News

なお、この脆弱性に関しては Microsoft からアドバイザリ（Microsoft Security Advisory (979352)）が提供されていますが、それを伝えるニュース記事から引用すると、

Microsoftによると、この攻撃にはIEがターゲットの1つとして利用されており、リモートでコードが実行される脆弱性が存在するとしている。

脆弱性の影響を受ける環境は、Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003上のIE6/7/8と、Windows 2000上のIE6。なお、Windows 2000上のIE5.01は脆弱性の影響は受けない。

このうち、今回の攻撃ではIE6しか利用されておらず、IEの他のバージョンに対する攻撃は今のところ確認されていないとしている。現在、Microsoftではアップデートを開発中で、品質が確保され次第公開するとしている。

Microsoftでは、アップデートを提供するまでの間、攻撃の影響を緩和するための方法をいくつか挙げている。

Windows Vista以降のIE7にはプロテクトモードが組み込まれており、これを利用することで今回の脆弱性を緩和できるとしている。DEP（Data Execution Prevention）機能は、IE8ではデフォルトで機能しているが、これ以前のバージョンでは手動で設定する必要がある。この機能もまた、攻撃を緩和するために有効だ。

Googleへの攻撃にIEのゼロデイ脆弱性、MSがアドバイザリを公開： INTERNET Watch

簡単に言えば、「Windows 2000 上の IE5.01」以外は全部攻撃対象になり得るということなので、IE8 では DEP である程度安全とはいえ、IE 使わない方が確実という結論になるのもわかる気がします。

欧州では元々日本などと比べても IE のシェアは低く、Firefox など他のブラウザに徐々にシェアを奪われている状況ではありますが、その流れがさらに加速するかもしれません。どういう影響が出るのかちょっと注目したいです。

参考リンク

2009年10月～12月の「欧州」ブラウザ別シェア

Top 5 Browsers in Europe from Oct to Dec 09 ： StatCounter Global Stats

個人的には他ブラウザへの乗り換えもいいのですが、これを機に IE6 や 7 といった古いバージョンの IE が最新版の IE8 に切り替わってもらえるのを期待したいです。

[1月19日追記]
フランスでも同じ動きがあったみたいですね。

ドイツ政府が IE からの乗り換えを推奨

参考リンク

関連記事

Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性 （CVE-2021-20837） を悪用した攻撃被害に関する対応メモ

Let's Encrypt で発行するサーバ証明書の暗号方式を RSA から ECDSA （楕円曲線 DSA） に変更する

Firefox 83 に 「HTTPS-Only モード」 が追加、Web サイトへの接続時、HTTPS 接続を強制可能に

パソコンやスマートフォンが得意ではないという人でもわかるオススメのパスワード管理方法（2020年10月版）

Google Chrome 77 が正式リリース、EV SSL 証明書に対するアドレスバーの組織名表示を廃止

全フィッシングサイトのうち、約半分は SSL で保護されている

Google Chrome 68 が正式リリース、SSL で保護されていないページに警告表示がスタート

Chrome における HTTPS 通信時の 「保護された通信」 表記廃止、非 SSL 接続時の警告表示の変更と適用開始時期が発表される

次期 Android では 「DNS over TLS」 がサポートされる

GitHub Pages、カスタムドメインでも HTTPS による接続が可能に

Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性（CVE-2021-20837）を悪用した攻撃被害に関する対応メモ

Let's Encrypt で発行するサーバ証明書の暗号方式を RSA から ECDSA （楕円曲線 DSA）に変更する

Firefox 83 に「HTTPS-Only モード」が追加、Web サイトへの接続時、HTTPS 接続を強制可能に

Chrome における HTTPS 通信時の「保護された通信」表記廃止、非 SSL 接続時の警告表示の変更と適用開始時期が発表される

次期 Android では「DNS over TLS」がサポートされる