IE全バージョンに再びゼロデイ脆弱性が発見されました。

「Microsoft Security Advisory 2963983」で紹介されています。

 皆さんは、どんな対策を取られましたでしょうか。私の所では、使っている機能がセキュリティ確保のために使えなくなって、おろおろしてます(笑)

 さて、質問です。
 今回の脆弱性への対処方法と、それによってなにが不便になるのかを、お伺いいたします。

 ググれば分かる有名なものも含めて、たくさんの回答をお待ちしております!

回答の条件
  • 1人10回まで
  • 登録:2014/04/30 09:03:20
  • 終了:2014/05/05 12:20:40

ベストアンサー

id:snow0214 No.5

snow0214回答回数470ベストアンサー獲得回数1162014/04/30 18:50:58

ポイント600pt

Enhanced Mitigation Experience Toolkit 4.1(EMET) を使用する

他のゼロデイ攻撃にも一定の効果がある(完璧ではない)ので、第一選択肢となります。
5.0が評価中ですが、下から安定版4.1をダウンロードすればいいでしょう。
http://www.microsoft.com/en-us/download/details.aspx?id=41138

デスクトップアプリが使えない場合は下の記事が参考になります。
http://surface.viva-m-tablet.info/entry/2014/04/29/181242

[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される

http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx

また、市販セキュリティソフトはゼロデイ攻撃を未然に防ぐ仕組みを備えているので、EMETとセットで使うことでリスク低減になるでしょう。

シマンテックインサイト:レピュテーションに基づく次世代保護技術

http://www.symantec.com/ja/jp/theme.jsp?themeid=insight

id:sasada

 EMET、頼りになりそうですね。
 ちょっとテストをしてからでないと導入できないのですが、使えるようなら(今後のためにも)使いたい気がしてきました。

 お薦めいただいた4.1について、前向きに考えたいと思います。

 市販セキュリティソフトはマカフィーのものを利用してます。シマンティックの解析技術とはまた別のアルゴリズムのようですが、頼りになるかもしれませんね。調べてみます。

 ご回答ありがとうございました!!

2014/04/30 19:55:33

その他の回答(5件)

id:a-kuma3 No.1

a-kuma3回答回数4470ベストアンサー獲得回数18442014/04/30 11:26:24スマートフォンから投稿

ポイント500pt

ここが、よくまとまっているように思います。
http://d.hatena.ne.jp/Kango/touch/20140427/1398602077

普段使いは Firefox なので、あまり気にしていませんが、仕事場の環境で IE のみ対応のシステムがあるので、とりあえず vgx.dll の登録を解除しました。

VML を使っているコンテンツを見た記憶がない(気がついてないだけかもしれませんが)ので、影響はほとんどないと思っています。


他の対策でいうと、この対策のためだけによく分からないもの(EMET)をインストールするのは、気が進みません。
何かをインストールするなら、別のブラウザに乗り替える方が、まだ心理的な抵抗感が少ないです(あくまでも個人の感覚です)。
ActiveX や Flash を無効にするのは影響が多き過ぎます。
拡張保護モードは、利用できる環境を選びます。

セキュリティレベルの変更は、結局、ActiveX を使えなくするのと同等で、影響範囲が広すぎるなあ、という感じです。
ぼくが使っている環境だと、イントラネットゾーンに ActiveX を使っているシステムがいくつかあるので、ちょっと採用できませんでした。

id:sasada

 わかりやすいご回答をありがとうございます。
 ご紹介いただいたURL、本当によくまとまっていますね!

 ご紹介いただいたURLより

QualysのBlogでは言及がないのですが、脆弱性修正後に無効化したコンポーネントを再度有効にする必要があるため次のコマンドを入力します。尚管理者権限で実行する必要があります。
"%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"

とのこと。脆弱性対応後、VMLの設定を元に戻せるのは朗報ですね。

http://www.tohoho-web.com/wwwvml.htm

※ VMLはIE10で廃止されました。今後は <canvas> を使用することが推奨されます。(

 どうせVMLはIE10で廃止になっているんですね。
 あまり使わないはずです。

http://www.tohoho-web.com/html/canvas.htm

Google が公開した JavaScriptライブラリ 「Explorer Canvas」を用いることで、IE6/IE7/IE8 でも canvas を VML でシミュレートできます。

 ここだけが要対応な気がしますが、脆弱性修正後にすぐに復帰させればOKですね!

 ちょっと調べてみて、VMLを当面使ってないようなら、vgx.dll の登録解除が現実的な解になりそうです。
 ありがとうございました!

 他のご意見もあるかと思いますので、引き続き回答をお待ちしております!!

2014/04/30 12:49:23
id:kicr-pp No.2

kicr-pp回答回数451ベストアンサー獲得回数142014/04/30 13:24:41

ポイント300pt

対策といえるかどうかは、わかりませんが、IEではなくGoogle Chromeを使っています。不便なところは、基本的に、IEを使っているため、お気に入りサイトなどを、IEに登録しています。なので、Google Chromeだとお気に入りサイトをすぐに表示できないところが不便です。 

id:sasada

 ご回答ありがとうございます。

 Google Chromeは早くて良いブラウザーですね。
 グーグルのプロダクト群(Google appsとか)との相性も良さそうです。

 スパッと乗り換えられる環境は、これを機会にGoogle Chrome(かFireFox)に乗り換えることも検討してみます。
 ただ、職場のPC群は、Webアプリ型の業務ソフトもあって、簡単に乗り換えられないのです(涙)
 仕事となると思うに任せませんね。

 ともあれ、有用な情報をありがとうございました!!

2014/04/30 13:58:57
id:Yacky No.3

エネゴリ回答回数1373ベストアンサー獲得回数1542014/04/30 14:08:49

ポイント600pt

私はいろいろと細かい設定を弄るのが面倒なのでインターネットおよびローカル イントラネット セキュリティ ゾーンの設定を『高』に設定してActiveX コントロールおよびアクティブ スクリプトをブロックしてます。
不便なことはActiveX コントロールがあるサイトだと機能しない事もある所です。
上記回答以外でしたら、Enhanced Mitigation Experience Toolkit(EMET)を使用するという手もあります。
Enhanced Mitigation Experience Toolkit(EMET)
http://support.microsoft.com/kb/2458544/ja
参照リンク
http://scan.netsecurity.ne.jp/article/2014/04/30/34080.html

id:sasada

 お返事が遅くなりました。
 ローカル イントラネット セキュリティ ゾーンを「高」に設定するのは堅実で良い方法ですね。
 他人様に薦めるなら、私も、いの一番に採用することにします。

 ただ、私の環境だと、Activ-Xを使う必要があって、単純には設定できないのですが(号泣)

 EMET、拝見しました。けっこう強力なツールのようですね。頼りになりそうです。
 今回のことを機会にEMETの導入も真面目に考えようかなと思いました。
 ただ、テストには時間が掛かりそうです。。。

 ご回答ありがとうございました!

2014/04/30 19:37:59
id:watercooler No.4

井戸端さん回答回数289ベストアンサー獲得回数512014/04/30 18:50:17

ポイント500pt

身の回りは簡単よ。IE禁止令ただそれだけだもの。
影響は別にでてないわ。だってほとんどの人がchromeやfirefoxを使ってるんだもの。スマホやタブレット使っている人も多いわよ。
クライアント企業様も同様ね。問題は使うなっていわれても使う人がいるかもしれないってことかしら。でもそこまでは知ったことではないわ。
Internet Explorer の脆弱性対策について(CVE-2014-1776):IPA 独立行政法人 情報処理推進機構

VGX.dll無効化はパソコンにちょっと詳しい人でないと難しいからどうしてもIE使いたい人には拡張保護モードを勧めてるわ。ユーザーレベルで設定してもらうことができるから管理者は楽よ。古いパソコンはあきらめてねって言いやすいのも利点かしら。
Microsoft Security Advisory 2963983

x64 ベースのシステムでは、Internet Explorer 10 の場合は拡張保護モードを有効にする。Internet Explorer 11 の場合は、拡張保護モードを有効にし、拡張保護モードで 64 ビット プロセッサを有効にする

Internet Explorer 10 および Internet Explorer 11 のユーザーは、Internet Explorer のセキュリティの詳細設定を変更することにより、この脆弱性が悪用されないように保護できます。これを行うには、ブラウザーで拡張保護モード (EPM) の設定を有効にします。このセキュリティ設定は、Windows 7 for x64-based systems、Windows 8 for x64-based systems、および Windows RT 上で Internet Explorer 10 を使用しているユーザーと、Windows 7 for x64-based systems、Windows 8.1 for x64-based systems、および Windows RT 8.1 上で Internet Explorer 11 を使用しているユーザーを保護するのに役立ちます。

Internet Explorer で EPM を有効にするには、次のステップを実行します。

Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
[インターネット オプション] ダイアログ ボックスで、[詳細設定] タブをクリックし、設定の一覧の [セキュリティ] セクションまで下へスクロールします。
Internet Explorer 10 を実行している場合は、[拡張保護モードを有効にする] の横のチェック ボックスがオンになっていることを確認します。
Internet Explorer 11 を実行している場合は、[拡張保護モードを有効にする] および [拡張保護モードで 64 ビット プロセッサを有効にする] (64 ビット システムの場合) の横のチェック ボックスがオンになっていることを確認します。
[OK] をクリックし、変更を許可し、Internet Explorer に戻ります。
システムを再起動します。


何よりも一番大切なことは慌てないことね。ネットの情報には誤りも多いわよ。特に人力検索でポイントを漁っている人のいいかげんさはひどいものよ。気を付けてね。

id:sasada

 ご回答ありがとうございます。

 拡張保護モードはこうなっているんですね。勉強になりました。

 ウチの環境では、Active-Xを使う必要性があってIEから離れられないのがつらいところです。
 趣味で使う分はグーグルクロールでもFireFoxでも構わないのですが。

 ウチの職場ではWin7の32bit版+IE8の組み合わせが何千のオーダーで導入されています。こいつらの対応を考えると頭が痛いです。。。

 でも、Win7 64bit版+IE10・11の環境もあって、こちらでは拡張保護モードも使えますね。インターネットオプションからGUIで設定できるのはポイント高いです。システム屋が駆けつけるまでもなく対応してもらえるのは、有り難いです。

 価値ある回答をありがとうございました!

2014/04/30 19:49:40
id:watercooler

パッチがでたわ。
http://support.microsoft.com/kb/2964358

自動アップデートは意外と遅いからIE使いたい人は手動アップデートさせたほうがいいかもしれないわね。

2014/05/02 09:49:01
id:snow0214 No.5

snow0214回答回数470ベストアンサー獲得回数1162014/04/30 18:50:58ここでベストアンサー

ポイント600pt

Enhanced Mitigation Experience Toolkit 4.1(EMET) を使用する

他のゼロデイ攻撃にも一定の効果がある(完璧ではない)ので、第一選択肢となります。
5.0が評価中ですが、下から安定版4.1をダウンロードすればいいでしょう。
http://www.microsoft.com/en-us/download/details.aspx?id=41138

デスクトップアプリが使えない場合は下の記事が参考になります。
http://surface.viva-m-tablet.info/entry/2014/04/29/181242

[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される

http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx

また、市販セキュリティソフトはゼロデイ攻撃を未然に防ぐ仕組みを備えているので、EMETとセットで使うことでリスク低減になるでしょう。

シマンテックインサイト:レピュテーションに基づく次世代保護技術

http://www.symantec.com/ja/jp/theme.jsp?themeid=insight

id:sasada

 EMET、頼りになりそうですね。
 ちょっとテストをしてからでないと導入できないのですが、使えるようなら(今後のためにも)使いたい気がしてきました。

 お薦めいただいた4.1について、前向きに考えたいと思います。

 市販セキュリティソフトはマカフィーのものを利用してます。シマンティックの解析技術とはまた別のアルゴリズムのようですが、頼りになるかもしれませんね。調べてみます。

 ご回答ありがとうございました!!

2014/04/30 19:55:33
id:pmakino No.6

まきのっぴ回答回数352ベストアンサー獲得回数282014/05/03 12:35:57

ポイント200pt

Norton Security 等のクライアントセキュリティソフトでは、ネットワーク脅威防止機能にて当該脆弱性を突く攻撃を防ぐことができます。
大企業等で IPS を導入している場合は、IPS で一括して防ぐこともできます。
なので、そのような代替保護手段がある場合は、無闇に IE をやめたり EMET を導入したり VML を無効化する等の対応を取る必要はないですね。
寧ろリテラシーの低いユーザーに他のブラウザをインストールさせようとすると、Softonic のような悪質なサイトに誘導されてしまい Hao123 や Baidu IME、その他悪質なアドウェアを抱き合わせに入れてしまう結果になりかえって良くない。実際そういう被害に遭っている例がいくつもあるようです。
どうせ2~3日でパッチが提供されるわけだし…と言っているそばから提供開始されたようですね。

id:sasada

 お返事が大変遅くなり、申し訳ありません。

 ウィルス対策ソフトは頼りになるんですね。
 こういう予防もしてくれるとは、有り難い限りです。

 今後のことを考えて、EMETの導入を検討していますが、テストで苦戦を予測しています。
 でも、職場には当然のようにIPSが入っているので、これで一安心できます。

 ご回答ありがとうございました!

2014/05/04 23:53:28
id:sasada

 配点は私が興味を持てた割合で、ベストアンサーは一番上に表示されたいものを選ぶという基準で選びました。
 あえて評価をしましたが、ご回答いただいた情報は、どれも為になるものばかりでした。選ぶのがとても難しかったです。
 ご協力いただいた皆様、本当にありがとうございました!!

  • id:watercooler
    井戸端さん 2014/05/02 09:50:10
    パッチがでたわ。
    http://support.microsoft.com/kb/2964358

    自動アップデートは適用までに時間かかるからIE使いたい人は手動アップデートさせたほうがいいかもしれないわね。
  • id:a-kuma3
    パッチはふたつ出てます。状況に応じて、*どちらか* を適用しなきゃいけない。
    https://support.microsoft.com/kb/2964358
    https://support.microsoft.com/kb/2964444

    タイトルを読めば分かりますけど、2929437 というパッチがあって、
    それを適用してあるシステムでは 2964358 を、
    まだ適用してないシステムでは 2964444 を適用しなくちゃいけない。

    詳細は、こちらに。
    https://support.microsoft.com/kb/2965111
    >>
    ・2964444 Description of the security update for Internet Explorer for systems
     that do not have security update 2929437 installed: May 1, 2014
    ・2964358 Description of the security update for Internet Explorer for systems
     that have security update 2929437 installed: May 1, 2014
     Known issues in security update 2964358:
     ・Internet Explorer will crash if you try to install security update 2964358
      on a Windows 7-based system that does not already have security
      update 2929437 installed. To avoid this issue, take either of the following actions:
      ・Install security update 2929437, and then install security update 2964358.
      ・Install security update 2964444 instead of security update 2964358.
       Security update 2964444 is intended for systems that do not have security
       update 2929437 installed.
    <<
    適用を間違うと、Windows7 の IE がクラッシュしちゃうらしいので、
    また混乱の元になりそうな...

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません