京都大学東南アジア地域研究研究所 情報処理室

(重要)Internet Explorer等Windows OSへのゼロデイ攻撃対応のお願い

ゼロデイ攻撃とは、セキュリティ脆弱性が発見され、それが修正されるまでの期間(ゼロデイ)に攻撃をすることです。
つまりセキュリティ脆弱性が修正されていない状況での攻撃のため、防ぐことが困難な攻撃であることから、深刻な被害がでることがあります。

さて、現在Internet Explorer 6〜11という広範囲に、下記の深刻なセキュリティ脆弱性が発見され、まだ未対応です(Micorosoftの報告)。

特に管理者ユーザーでログインして利用している場合には、端末そのもののアクセス権限を攻撃者が遠隔から得ることが出来てしまうため、事態は深刻です。

最善は、Internet Explorerの利用を当面控えること

ウェブブラウザは、Firefox, Google Chromeなど他にもいろいろあります。
どうしても緊急的にInternet Explorerを使う必要がなければ、当面他のブラウザを使うほうが安全だと言えます。

Windows Updateの適応を!(2014/5/2)

2014年5月2日、Microsoftは例外的にWindowsXPを含むWindows OSに対して、本問題の更新プログラム(MS14-021)を公開しました。Windows Vista以降であれば自動的に更新されますが、http://update.microsoft.com/microsoftupdate にアクセスして、最新更新プログラムが適応されているかどうか、今後数日確認したほうがいいと思います。

更新プログラムが適用されてかどうかの確認

※Microsoft Officeが入っている場合には、Windows UpdateはMicrosoft Updateへアップグレードされ、今回の更新やOffice更新も含みます。しかしながら、OSしか入っていないなど(開発環境等)の場合には、下記のURLをみて、Micorosoft Updateにアップグレードしてください。
– http://www.microsoft.com/ja-jp/security/pc-security/j_musteps_win81_1.aspx

以下、いずれにしても下記の対応をすることは強く推奨します。
今回の問題は収束したとしても、同様のトラブルが起こる可能性があり、従って未然防衛は必須のためです。

どうしてもInternet Explorerを使わないといけない場合

いずれにしてもWindows OSをお使いの場合には、下記にあげる対策をしておくことを強く推奨します。

京都大学では、認証ICサービスというのがあり、これを利用する場合にはブラウザに特別な設定をしなくてはなりません。
Firefoxでも利用可能ですが、そのためには設定変更が必要です。
それらの方法については、認証ICサービスにサービスについての説明を書いていますので、そこからサービス母体へ問い合わせてみてください。

このように、Internet Explorerを使い続けないといけない場合が存在します。
その場合には、下記の回避策を講じることを強く推奨します。

この対策のうち、下記の2つについてはそれぞれより簡単な暫定対処方法を説明していますのでご参照ください。
※ただあくまで危険性を低下させる対処のため、導入したからといって完全に危険が無くなるわけではありません

1. EMET(ソフトウェア脆弱性緩和ツール)の導入方法

EMET = Enhanced Mitigation Experience Toolkit

リンク先参照。

2. VGX.DLL の登録を解除する方法

(今回の脆弱性元サービスを無効化)

 VML(Vector Markup Language)が無効になるため、VMLを利用したサイトは表示できなくなります。
 今後の危険性を考慮するなら、VMLが必要なサイトは他のブラウザを使うほうがいいかもしれません。

WindowsXPについて

WindowsXPはサポートが切れているため、当面は「1」「2」で切り抜けられても抜本的な解決策はありません。
できるだけ早く、アップグレード(可能な場合)あるいは買い換えることをお勧めします。

関連情報

 

2014年4月30日 情報処理室長・木谷
2014年5月1日 一部修正
2014年5月2日 修正

モバイルバージョンを終了