4月28日に発表されたInternet Explorer(以下IE)の脆弱性が大きなニュースになっています。
対策について書こうと思いましたが、本家Microsoftのサイトにこれ以上ないくらい詳細にまとまっているので、違った切り口から今回の騒ぎを考察してみたいと思います。
↓Microsoftによる回避策のサイトはこちら
http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx
なぜこんな大騒ぎになったの?
IEの脆弱性は多く発見されており、専門サイトではしょっちゅう取り上げられておりますが、なぜ今回はテレビや一般紙の一面でも取り上げられる程、大きなニュースになったのでしょうか。
まず一つには、「米国土安全保障省(DHS)がIEを使わないように推奨した」事が挙げられます。アメリカの政府機関がこのような推奨を出すという事は、非常にショッキングな出来事と捉えられました。
もう一つには、「WindowsXPのサポート打ち切り直後に発見された大規模な脆弱性だった」事が挙げられます。先に報道であったように、今後WindowsXPに対しては修正プログラムがリリースされない事から、これだけ大規模に取り上げられた脆弱性が打つ手無しのままで放置される事になります。
IEは不良品なの?
今回の対策の一つとして、「当面IEの使用を辞めて別のブラウザを使う」事が挙げられています。こういうニュースの度にIEの名前が出て、悪者のように報道されている事から、まるで「IE=不良品」のように感じる方もいるかもしれません。
IEの脆弱性が特に大きなニュースとして取り上げられるのには、大きく3つの背景があるように感じています。
1つめは「Windowsに元々組み込まれているので利用者が多い」こと。シェアが多いという事は当然ながらそれだけ多くのユーザーに影響が及びます。
2つめは「IEがインターネットサイト閲覧用のソフトウェアである」こと。近年、ウイルスの侵入経路はインターネットサイト閲覧時かUSBメモリ経由である事がほとんどであることから、Windowsに関係する脆弱性の中でも、特にIEに関する物が大きく取り上げられる傾向にあるように感じます。
そして3つめは、「ヘビーユーザーほど自分の意志で他のブラウザに乗り換えてしまうので、結果、利用者の中でライトユーザーや初心者の比率が高い」こと。
あまりPCを使わないユーザー層の方が対策も遅くなる傾向があり、攻撃の成功率も高くなりがちです。
たとえば今回、代わりのブラウザとしてFirefoxやGoogle Chromeの名前が挙げられていますが、これらのブラウザでも頻繁に脆弱性が発見され、修正プログラムがリリースされています。ただ、先程も書いた事とも重なりますがどちらも、ヘビーユーザーの占める割合が多いので、ユーザー側での対応が比較的スムーズに行われやすいです。
また、現状ではシェアの面からも脆弱性に関するニュースが取り上げられる可能性は低いと思います。
このような背景から、他のブラウザの脆弱性情報はIEほどには大きく取り上げられないだけで、セキュリティ対策はどんなブラウザを使っていても同じように必要になります。
ですので、「IEは危険だが他のブラウザは安全」と一概に考えてしまわない方が良いと思います。
企業でも、テレビや新聞で大規模に取り上げられた事が独り歩きして、パニックのような騒ぎになっている所もあれば、「とりあえずIEを辞めれば今後は安心」という所で対策が止まっている所もあるようです。
このような報道の背景にも目を向けてみると恒久的な対策の指針も立てやすい場合があるかと思います。
ちなみに、一部マスコミ等では代替ブラウザの一つとしてSafariの名前も挙げられていますが、Windows版には脆弱性があり、使用停止が推奨されています。
http://jvn.jp/jp/JVN42676559/
新バージョンリリースの見通しも立っていない事から、使用しない方が良いかと思います。