インターネットエクスプローラーを使い続けることのリスクとは
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「今でもインターネットエクスプローラーを使っている!? セキュリティ上の懸念点とは?」を再編集したものです。
生みの親、マイクロソフト社からも非推奨!?
2019年2月にマイクロソフト社が公式ブログでIEの標準利用を控えるよう勧告した。同社のサイバーセキュリティアーキテクトであるクリス・ジャクソン(Chris Jackson)氏は、IEを使い続けることによって企業は「技術的負債」を抱えることになると述べている。それは、コスト的な負債という意味合いもあるが、セキュリティ的なリスクという点も見逃せない。
現在のWindows標準ブラウザーはEdgeであり、IEはあくまで過去のウェブシステムのための下位互換として、マイクロソフト社は以前からEdgeへの移行を推奨している。かつて最大のシェアを獲得したIEも、今ではその地位をGoogle Chromeに明け渡しており、停滞するユーザーシェアを背景にアプリケーション開発時の検証環境から除外されることも少なくない。
Windows 7のサポートは2020年1月に終了し、市場のWindows 10への移行は進みつつある。一方で業務上の理由などからIEを継続利用している企業も現時点で少なくない。未だにIE 8や9、10など、すでにサポートが終了して久しいウェブブラウザーを使用しているケースも見受けられる。サポートが終了しているアプリケーションを利用することは、情報セキュリティにおいて大きなリスクとなる。
なぜ新しいブラウザーへの移行が進まないのか
そもそも、ChromeやEdge、Firefoxなどの新しいウェブブラウザーへの移行がなぜ進まないのだろうか。その大きな要因の一つとされるのが、IEを前提に開発された業務システムやウェブアプリケーションの存在だ。
仮にIEに重大な脆弱性が発見されたとしても、複雑となってしまった業務システム自体をすぐにアップデートすることは容易ではない。セキュリティパッチをあてたとしても、システムが正常に動作しなくなるリスクもある。運用リスクや人的なリソース不足などを総合的に判断した結果、古いIEでの業務継続を余儀なくされることもある。
参考記事:今一度考える「Internet Explorer」の脆弱性
もうひとつは利用方法の学習や手間、費用などが問題になっているケースだ。新しいツールを使いこなすには時間も労力も必要だ。当然ながら全般的なリプレースには費用もかかる。それらを渋り、未だに2014年にサポートが終了したWindows XPを使用し続けているユーザーも一定数存在するほどだ。
また、リテラシーの問題もある。企業や組織内にITに詳しい人が存在しないため、切り替えの必要性を認識すらしていないことも要因のひとつに挙げられる。
高まり続ける、ゼロデイ攻撃の脅威
IEの継続利用における、大きなリスクの代表格がゼロデイ脆弱性だ。ゼロデイ脆弱性とは発見の時点で更新プログラムが用意されていない脆弱性であり、サイバー攻撃に悪用された場合、被害が生じる可能性が極めて高い。IEについては以下のようなインシデントが過去に起こっている。
・2014年2月、IEにおける新たなバッファ・オーバーフロー脆弱性
この脆弱性を悪用されると、メモリー破壊により第三者がリモートでコードの実行をできるようになる。たびたび報告される脆弱性だが、この時はマイクロソフト社が更新プログラムを提供する前に公表されたため、ゼロデイ脆弱性としてドライブバイダウンロード攻撃に悪用された。攻撃によってトロイの木馬に感染してしまうと、オンラインバンキングの利用時に偽の画面が表示され、入力したパスワードが窃取される。ターゲットとなったのは「ゆうちょ銀行」や「みずほ銀行」のユーザーだった。
・2020年1月、メモリー破壊に関する脆弱性
IE 9や10、11のスクリプトエンジンに由来する脆弱性で、公表時においてゼロデイ状態であり悪用が確認された。こちらもメモリー破壊を引き起こし、リモートによって攻撃者は偽サイトへの誘導や不正ファイルの実行が可能となっていた。マイクロソフト社は2020年2月11日(米国時間)に脆弱性の修正を含む更新プログラムをリリースした。
上記のような事例をはじめ、IEでは近年、メモリー破壊に類する脆弱性がたびたび報告されている。2020年1月のケースでは、脆弱性の発見から更新プログラムの提供までに3週間以上を費やした。この間、IEを標準のウェブブラウザーとして利用しているユーザーは、ゼロデイ脆弱性の脅威にさらされ続けたことになる。
ゼロデイ脆弱性を狙われることで生じるセキュリティリスク
脆弱性そのものはあらゆるアプリケーションで生じる可能性がある。しかしIEの場合、前述のとおり原則としてサポートが終了してしまっている。そのため、更新プログラムの提供が他のウェブブラウザーに比べて遅れるため、ゼロデイ攻撃によるリスクが高まる傾向にある。そもそも、サポートが終了しているアプリケーションは、更新プログラムも提供されないことが前提であり、継続利用そのもののリスクが極めて高い。企業で使用している端末などがゼロデイ脆弱性を突かれ、マルウェアの侵入を許してしまった場合には下記のような危険が生じる。
・情報漏えい
マルウェアによってメールアドレスや顧客情報など機密情報が漏えいする危険性がある。窃取された情報はさらなる標的型攻撃に悪用され、被害が一層拡大するケースも考えられるだろう。
・データの破損や改ざん
重要なデータの破損や改ざんも大きなリスクだ。最近では、データを勝手に暗号化し、復号する代わりに金銭を要求するランサムウェアによる被害も増加傾向にある。
・不正アクセス
パスワードなどログイン情報の漏えいや権限の不正な変更によって、サーバーやネットワークへの侵入を許してしまう。不正アクセスにより機密情報や個人情報などが漏えいしてしまうと、事業に甚大な損害を与える恐れもある。
・攻撃の踏み台としての悪用
マルウェアに感染した端末がDDoS攻撃など、他社への攻撃の踏み台として悪用される可能性がある。この場合、知らなかったでは済まされず、損害賠償を求められる場合もあり得る。
上記のようなセキュリティインシデントが生じることで、事業の停止や事後の対応、信頼性の低下といったビジネス上の損害におよぶ可能性がある。特にインシデントの要因がサポート切れのIE利用に起因していた場合、その企業の社会的信用は大きく損なわれるだろう。提供元であるマイクロソフト社が公にIEのリスクを述べている現在、それを放置すること自体がマイナスに捉えられかねない。
IEと他ウェブブラウザーとのセキュリティ的な違い
IEと他のウェブブラウザーとのセキュリティ的な違いは何か。たとえば、ChromeやFirefoxなどの新しいウェブブラウザーでは「サンドボックス」という機能が常に稼働している。ウェブブラウザーのプロセスをサンドボックスという隔離された仮想スペース内で処理することで、他のアプリケーションやOSに悪影響が及ばないようにしているのだ。Chromeではタブごとにプロセスを分離し、サンドボックス内で動作させることで仮にタブのひとつが攻撃に遭遇した場合でも、被害を最小限にとどめることができる。
IEにもセキュリティ機能は存在する。サンドボックスと同様の拡張保護モードというものがあったが、オプションであり常用ではなかった。またIEは下位互換が前提であるため、他のウェブブラウザーではサポートしていないActiveXなどの旧機能を実行できてしまう。ActiveXコントロールはIEの機能を拡張する技術だが、脆弱性を抱えていることで攻撃に悪用されるケースがあるため、Edgeなどの最新ブラウザーではサポートされていない。
またChromeやFirefoxなどの最新ブラウザーは自動更新が標準となっており、常に最新バージョンを利用できる。重大な脆弱性が発見された場合でも24時間以内に更新プログラムがリリースされる。アップデートや更新プログラム提供のタイミングも違いのひとつだ。
IEは下位互換を前提としているため、本来捨てるべき技術も内包せざるを得ない。このように最新ブラウザーとIEでは前提が異なることなどが、セキュリティリスクを含有することに繋がっている。
技術的負債を解消し、新しいウェブブラウザーへ
業務上の理由でIEの使用を余儀なくされていることも少なくない。既存システムのアップグレードやリプレースにはコストも必要になるだろう。システムそのものを刷新する場合は、業務オペレーションも変えなければならない。こうしたことを踏まえると「脱IE」に対して二の足を踏む気持ちも理解できなくはない。
しかし、IEの継続利用により重大なインシデントが発生した場合、失う信頼や与える損害は莫大なものになる。だからこそ、IT活用がビジネスの前提となりつつある今、すぐにでも「脱IE」を検討するべきだ。
サイバー攻撃はより一層、巧妙化している。攻撃者は常にアプリケーションの脆弱性やそれを利用するユーザーを探している。旧式のウェブブラウザーを継続的に使用するかぎり、組織のセキュリティリスクは残り続ける。もはやセキュリティ対策はビジネスの信頼性や継続性を担保するためにも、経営の重要課題とすら言える。もし未だにIEの利用を継続しているようならば、それを技術的負債と捉え、早急に改善を講じることが必要ではないだろうか。