なぜ、IEの脆弱性問題は過剰報道になったのか?

　今年のゴールデンウイーク中に、Internet Explorer(IE)の脆弱性が大きなニュースとして取り上げられた。IEは、MicrosoftのWindows搭載PCには標準で搭載されているため、搭載されたソフトウェアをそのまま利用する傾向が強い日本では、PCユーザーの約半分がIEを利用しているという状況だ。世界的に見てもIEの利用率が高い。

　ところで、脆弱性はソフトウェアには必ず存在するもので、それを突いた悪意を持ったソフトウェアなどが開発されると、不正アクセスなどが行なわれ、情報漏洩などへと繋がる可能性がある。

　今回の脆弱性は、リモートでコードが実行されるというものであり、特別に細工されたウェブサイトを閲覧した場合に、悪意のあるコードが実行され、ユーザーのPCが乗っ取られる可能性があるというものだ。それだけに、事は重大だと、新聞やTVがこぞって、ニュースとして取り上げ、対策を行なわないまま使い続けることの危険性を訴えた。

　だが、この報道の過熱ぶりは異常だった。Windows XPのサポート終了にあわせて、脆弱性を抱えたままのソフトウェアを使い続けることの危険性に対する意識が浸透していたこと、そしてゴールデンウイーク中には経済ネタが枯渇する中で、その合間を埋めるには最適なニュースとして、メディアが飛びついた点も見逃せないだろうが、その報道ぶりは、必要以上に危険性を煽り、利用者に危機感を感じさせたといわざるを得ないのではないか。

脆弱性が発見され、情報公開されるまでの仕組みとは

　では、なぜ、日本での報道が異常なほどの過熱ぶりと言えるのか。今回の流れを追いながら、それを検証してみたい。

　Microsoft製品に関する脆弱性は、大きく3つのルートで発見される。1つは、Microsoft自らが持つ、サイバーセキュリティ専門組織が発見するというもの。2つ目は、セキュリティ関連企業や団体など、第三者の組織が発見する例である。そして、3つ目には個人ユーザーなどが発見するというパターン。先頃、米サンフランシスコ在住の5歳の男の子がXbox Liveの脆弱性を発見して話題となったが、それはこの最後のパターンとなる。

　今回のIEの脆弱性は、2番目の第三者の組織が発見したものだ。米セキュリティ企業のFireEyeが4月に入って、FireEyeが持つ独自の仮想環境(MVXエンジン)において、この脆弱性を利用した攻撃を検知。Microsoftへ連絡を行ない、米国時間の4月26日に、Microsoftが「セキュリティアドバイザリ」という名称での脆弱性情報を公開し、その存在を明らかにした。

　ここで1つ知っておくべき仕組みがある。Microsoftは2002年から、Trustworthy Computingの名称で、信頼性の高いコンピューティング環境の構築に取り組んでいる。それに則って、従来は随時公開していた脆弱性の問題を解決するためのセキュリティ更新プログラムの配布を、同年5月から毎週水曜日の定例公開へと変更。さらに、2003年11月からは、現在の毎月第2火曜日の定例公開へと変更した。随時での公開や、週1回の公開サイクルでは、企業の情報システム担当者の作業が煩雑になるということに配慮して、月1回の公開としたわけだ。

　だが、ここで気になるのは、脆弱性が発見されてから更新プログラムが公開されるまで、最長で1カ月近く脆弱性が放置される可能性であることだ。この間、脆弱性を狙った悪意を持ったプログラムが開発されないとも限らない。

　そこで、Microsoftでは、第三者の企業や団体、あるいは脆弱性を発見した個人に対して、むやみに情報を公開しないように申し入れを行ない、これを遵守させる仕組みを作っている。だからこそ、月1回の定例更新だけで、脆弱性に対応できるというわけだ。今回の場合も、FireEyeは自ら勝手に情報を公開するのではなく、Microsoftに連絡を取り、その上で、Microsoftが脆弱性情報を公開するという段取りを踏んだ。

　脆弱性が公開されたことで、その存在を多くの人が知ることになるが、この内容の詳細については明らかにはされない。そのため、悪意を持った第三者がこれを突いたプログラムを開発しようとしても、なかなか簡単にできるものではない。むしろ、セキュリティ更新プログラムが配布されてから、それを解析することによって詳細を知ることができるようになる。

　Microsoftでは、今回の脆弱性の存在を公開するとともに、その回避策として、「EMET(Enhanced Mitigation Experience Toolkit)を導入すること」、「VML(Vector Markup Language)を無効化すること」、「インターネット オプションの拡張保護モードを有効にすること」という3つの回避手段を公開した。

　この言い方では専門用語が多く、一般ユーザーには、何をどうすればいいのかが分かりにくいだろう。日本Microsoftでは、4月30日午前7時17分に「回避策まとめ」、同日午後11時36分に「FAQまとめ」というサイトを新たに公開。用語の解説などを含めて、ユーザーが理解しやすいようにサポートした。

　多くのユーザーでは、Windows Updateの既定設定で「自動更新」となっているため、追加アクションを行なうことなく、自動的にセキュリティ更新プログラムがインストールされる。難しい操作はなにもいらない。もし、設定を有効にしていない場合には、自動更新を有効にするといいだろう。現時点では、5月2日に公開されたセキュリティ更新プログラム「MS14-021」を、Windows Updateを通じてインストールすれば、この脆弱性には対応できる。

「限定的な標的型攻撃のみ」の意味とは

　今回発見されたIEの脆弱性にはいくつかのポイントがある。そこに、日本での報道が過熱しすぎたと指摘できる理由がある。

　最大のポイントは、米国時間の4月26日に公開されたセキュリティアドバイザリ(日本では日本時間の4月28日午前1時34分に公開)で表記された「この脆弱性の悪用状況は、Internet Explorer 9, Internet Explorer 10, Internet Explorer 11を対象とした、限定的な標的型攻撃のみを確認している」という文言だ。

　サイバーセキュリティに詳しい人であれば、この言葉の意味をすぐに理解できる。ここで言っているのは、この脆弱性は、ある特定の機関や企業だけを狙った標的型の悪用だけに留まっているということだ。つまり、一般のユーザーが、通常の使い方をしている上では、まったく問題がないということを暗に示している。もちろん、セキュリティ更新プログラムが配布される前に、悪意の第三者によってこの脆弱性を悪用した攻撃が行なわれる可能性は否定できない。実際、FireEyeでは、その脆弱性を悪用した攻撃が、防衛系、金融系の組織を中心に、多岐に渡って継続的に観測されているとの見方を示している。だが、それも、やはり特定の機関を狙った標的型だ。一般ユーザーに対して、影響を及ぼす可能性は極めて低いであろうことを前提に、Microsoftは、4月26日に情報を公開したと言える。

　これも推測の域を出ないが、仮に、この限定的な標的型攻撃の対象が米国の政府機関であり、米州全域の自治体に広く告知するために情報を公開したとしたらどうだろうか。米国の政府機関では、ネットワークにつながった端末を一括で管理する仕組みを導入していると言われ、当初、Microsoftが示した3つの回避策についても、自動的に対応できるようになっているようだ。

　しかし、小規模の自治体などについては、この仕組みから漏れる端末も存在し、それらの自治体向けに情報を公開して、回避策への対応を促したという状況が浮き彫りになる。これらの自治体では依然としてWindows XP搭載PCが稼働している例もあるようで、公開されたセキュリティ更新プログラムでは、4月9日でセキュリティサポートか終了したWindows XPまでを対象に入れたこと、Internet Explorer 9、10、11に加えて、それ以前のバージョンとなり、Windows XPとの組み合わせで利用されている公算が高いInternet Explorer 6、7、8までもその対象としたことからも、その憶測が納得できる材料の1つとなる。そして、米国政府がこの脆弱性に対して直接声明を発表したことからも、そうした推測が成り立つと言っていい。

　また、脆弱性が発見された場合、定例外でセキュリティ更新プログラムを公開する場合と、定例でセキュリティ更新プログラムを提供する場合とに分かれるわけだが、この線引きについては、Microsoftでは詳細を明らかにしていない。だが、定例外でセキュリティ更新プログラムを公開したことは、「限定的な標的型攻撃」の対象が、Microsoftにとって特別なユーザーであったことは間違いない。これも米政府筋が標的であるとの憶測を高める理由の1つになっている。

　ちなみに、米政府の発言では、「3つの回避策を取れないユーザーは、IE以外のブラウザを利用することを検討して欲しい」としたが、日本での報道は後半の部分だけが取り上げられ、米国政府がIE以外のブラウザを推奨しているような形で報道されたことも、日本での異常な注目ぶりに油を注ぐことになったといえよう。実は全世界で、この脆弱性に関して、報道機関向けにMicrosoftがニュースリリースを用意したのは日本だけ。そして、個人ユーザーの問い合わせ件数は、日本だけが圧倒的に多かったという。それだけ日本での報道が過熱していたことを示す事象だと言える。

「定例外」は「異例」ではない

　今回のセキュリティ更新プログラムは、毎月第2火曜日に公開されるものとは異なる「定例外」のものとして、日本時間の5月2日に公開されたが、過去にも同様に、定例外でセキュリティ更新プログラムが公開されたことがある。

　例えば2013年1月には、IE用にセキュリティ更新プロクラムが定例外で公開されている。また、脆弱性に関する情報がセキュリティ更新プログラム公開前に公表されたことは、2013年で3回、今年に入ってからも2月に行なわれている。そうした意味でも、「定例外」の措置は、あくまでも「定例外」であって、「異例」というわけではない。だが、この脆弱性に関して、セキュリティ更新プログラムをいつ提供するのかと、いうことを明確にしていなかった点も、日本での報道を煽ることになった。

　4月28日時点に公開したサイトでも、「セキュリティ更新プログラムによる対応が行なわれるまでの間、お客様の環境を保護するために、記載の回避策を実施してください」と表記していたが、その時期は明確にしていなかった。これも実はセキュリティの世界では暗黙の了解とも言える言葉の使い方だ。セキュリティ更新プログラムの具体的な提供時期を明記すると、時限的とはいえ、その間はセキュリティ更新プログラムが提供されないことを示す結果となり、これによって、悪意を持った第三者をかえって煽る可能性があるのだ。時期を示さないのは、それを回避するための配慮だと関係者は指摘する。

　ただ、定例外での公開となったことで、Windows XPも対象となったという点は否めないだろう。もしこれが5月12日に公開される定例のセキュリティ更新プログラムとして配布されたとすれば、Windows XPは対象外になった公算が高い。実際、Windows XPのサポート終了に関して、偶然とはいえ、定例外でのセキュリティ更新プログラムの配布も行なわないとは一言も言ってはいなかった。

脆弱性の発見を積極化するMicrosoft

　ところで、今回の一連の騒動は、Microsoftのビジネスにどう影響したのだろうか。実はその点では、まったく影響がなかったと言っていい。

　一時的にIEの利用率が低下したことなどが報道されているが、徐々に回復基調にあること以前に、もともとWindowsとともに提供されているソフトウェアだけに、これだけでビジネスを独立させているわけではない。収益への影響は皆無と言っていい。

　また、Microsoft製品に対する脆弱性が発生したことでのイメージダウンを懸念する声もあるが、統計的にみるとMicrosoft製品の脆弱性は、他のプラットフォームに比べても少ないのが実情である。

　一般ユーザーには理解しがたいかもしれないが、Microsoftは、脆弱性の発見に積極的に取り組んでいる。もともと脆弱性はソフトウェアにはつきものであり、皆無にすることはできない。そうした環境を改善するために、Microsoftは積極的に脆弱性を発見することに、セキュリティ関連企業や団体と連携しながら取り組んでいるのだ。

　こうしてみると、脆弱性の被害の影響が特定の組織などを対象にした限定的なものであったこと、個人ユーザーや中小企業ユーザーなどは自動設定によってセキュリティ更新プログラムをインストールすれば対策ができること、Microsoftのビジネスにはなんら影響がなかったわけで、今回の日本での報道は過剰なものだったと言える。