マイクロソフトのWebブラウザ「Internet Explorer」のゼロデイ脆弱性問題への対応とこれから

　Microsoft（マイクロソフト）のPC用OSとなるWindowsにおいて標準のWebブラウザとして搭載されているInternet Explorer（インターネット エクスプローラ）に、Webサイトに悪意のあるプログラムが仕込まれていた場合にそれが実行されてしまう脆弱性が発見され、日本では大手新聞社などが大きく報じたこともあり一種の社会問題となった。その後、Microsoftはこの問題に対応するセキュリティ更新プログラム（パッチ）を5月2日に配布したことで問題は終息に向かいつつあるが、それでも本当に大丈夫なのかと不安に感じているユーザーも少なくないだろう。

●マイクロソフト セキュリティ情報 MS14-021 - 緊急
https://technet.microsoft.com/library/security/ms14-021

　そこで、本記事ではこのInternet Explorerの問題の本質は何で、今後ユーザーとしてはどのような注意を払っていけば安心してインターネットを利用することができるのかについて解説していきたい。結論から言えば、今回の問題が浮き彫りにしたのは、Internet Explorerは安心して利用してよいブラウザだということだ。それはどういうことなのだろうか？

Windowsに標準搭載されているInternet Explorerに意図せずプログラムが実行されてしまう脆弱性

　Car Watch誌のような自動車媒体の記事をお読みの方には、あまりPCのOS（Operating System、基本ソフトウェア）やWebブラウザについて興味がある方は多くないかもしれないが、この問題を理解するためには最低限必要な知識なので、しばらくお付き合い願いたい。

　OSというのは、PCやスマートフォンなどに初期導入されている基本的なソフトウェアで、アプリケーションソフトウェアと呼ばれる応用ソフトウェアと、ハードウェアの間にたってさまざまな調整を果たす役割を果たしている。PCにおけるOSで、圧倒的な市場シェアを持っているのが、MicrosoftのWindowsで、現在の最新版がWindows 8.1というバージョン（ソフトウェアの履歴番号のこと、数字が新しいほど最新版であることを意味している）になる。Windowsには複数のバージョンがあるが、2001年に登場したWindows XP、2006年に登場したWindows Vista、2009年に登場したWindows 7、2012年に登場したWindows 8、そして2013年に登場したWindows 8.1とバージョンアップが行われてきた。現在Appleが発売するMacシリーズを除けば、ほとんどすべてのPCにこのWindowsが標準導入されて出荷されている。

　このWindowsに標準のWebブラウザとして搭載されているのがInternet Explorerだ。Webブラウザとは、Car WatchのようなWebサイトを閲覧するときに使われるアプリケーションソフトウェアで、WindowsにはこのInternet Explorerが標準で搭載されているため、PCで使うブラウザとして一般的に利用されている。

　技術的なことを解説すると、このWebブラウザはWebサイトを読みに行くと、HTMLという一種の指令を読みにいく仕組みになっている。WebブラウザはそのHTMLに書かれている指示に従って、文章や写真、動画などをユーザーに表示する。今回問題になったのは、そのHTMLには単純に文章や写真を表示させるという指令だけでなく、一種のプログラムを実行することが可能な機能があることだ。

　こうした機能は、Internet Explorerに限らず、Webブラウザでは一般的に搭載されているもので、今回Internet Explorerのそうした機能のうちベクター画像を描画する言語（VML）を実行する機能にバグがあり、ユーザーが意図しない形で悪意のあるプログラムが実行できる可能性があることが分かったのだ。Webサイト側に悪意があってそうしたプログラムをWebサイトに仕込んでいた場合には、ユーザーのPCが乗っ取られてデータを盗られたり、他のPCに対しての攻撃に使われたりという可能性がでてくるのだ。

　この問題は、Internet Explorerの過去のバージョン（Internet Explorer 6）から最新のInternet Explorer 11まですべてに起こりうる問題で、過去十数年にわたって発売されたPCで、Internet Explorerを利用してインターネットを閲覧しているユーザー全員に影響がでるため、4月の末に米国や日本の報道機関などで大きく報道されて、一種の社会問題になった。

Microsoftはすぐに手動の回避策を公開したが、一般ユーザーには難しく、広がった混乱

　この問題をうけたMicrosoftの動きは非常に速かった。問題が報道されると、すぐにMicrosoftは手動の対応策を公開した。ただ、対応策というのは、前述したベクター画像を表示する言語をロードできる機能を、手動でオフにするというもので、率直に言えば一般的なユーザーにはややハードルが高い方法だった。つまり、この時点で発表された手動による対応策というのは、どちらかと言えば、企業でPCを管理しているシステム管理者のような専門家が対処するものだった。

●IEのゼロデイ脆弱性、攻撃回避策の手順をマイクロソフトが説明（INTERNET Watch）
http://internet.watch.impress.co.jp/docs/news/20140430_646651.html

　このため、一般的なユーザーがこの時点で対処可能だった方法は、Internet Explorerを使うのを一時的に停止するというものだった。Windows OS用のWebブラウザとしては、Windowsに標準で導入されているInternet Explorer以外にも、Googleが無償配布するChrome、Mozillaが無償配布するFirefoxなどがよく知られており、これらを代替的に使うのが簡単な回避手段として紹介されていた。この時点では、確かにそれが最も簡単な回避策だったのが、それが恒久的に“安心な手段”かと問われれば、実は一概にそうとは言えない面がある（これに関しては後述する）。

　いずれにせよ、Microsoftが紹介したシステム管理者レベルや専門家レベルで実行可能な手動の回避策か、ほかのWebブラウザを利用するというのがこの時点での回避策だったと言ってよいだろう。特に前者に関しては一般ユーザーのレベルでは対応が難しかったため、一時的にInternet Explorerの使用をやめるべきだというアナウンスが公的機関からも出されたこともあり、混乱が広がった。

Microsoftは問題を解決するアップデートパッチをWindows Update経由で公開

　だが、5月2日の午前中に、Microsoftはこの問題を解決するアップデートパッチの配布を開始し、それを適用すると、今回の問題を回避することができるというアナウンスを行った。

　MicrosoftはWindowsやInternet Explorerのアップデートは、Windows Updateという仕組みを利用して自動で行っている。Windows Updateとは、Windowsのコントロールパネルの中にある機能で、これを利用することで、Windows、Internet Explorer、OfficeなどMicrosoftのソフトウェアをまとめて最新版にすることができる機能だ。今回のMicrosoftが公開したのは「Internet Explorer 用のセキュリティ更新プログラム（2965111）」というアップデートパッチで、これがWindows Updateを通じて配布されている。

●マイクロソフト セキュリティ情報 MS14-021 - 緊急
https://technet.microsoft.com/library/security/ms14-021

　通常、Windows Updateは自動でアップデートが適用されるように初期設定されてるため、PCを起動しっぱなしにしておけば自動でアップデートが適用される。この自動でアップデートする設定は、コントロールパネルのWindows Updateから設定が可能で、自動でアップデートする設定にしていない場合には、この機会にそのように設定しておくといいだろう。もちろん手動でアップデートすることも可能で、その場合はコントロールパネルのWindows Updateを開いて左側に表示されている項目の中から"更新プログラムの確認"を選ぶと、前出の更新プログラムを探してきて表示してくれるので、それを適用すればよい。適用すると、Windowsを再起動せよという表示がでるので、それに従って再起動すれば終了だ。

重要なことはバグがあるかないかではなく、可及的速やかに対応してもらえるかどうか

　すでに述べたとおり、Internet Explorerにこうしたバグ（プログラムの欠陥のこと）があることが分かってから、Microsoftがパッチを配布するまでにタイムラグがあったため、対応策として盛んにChromeやFirefoxなどのほかのブラウザにすれば安全だという論調を見かけることが多かった。確かに今回の問題（VML関連のバグ）を一時的に回避する手段としてそれは正しかったが、今後もInternet Explorerではなく、ChromeやFirefoxなどを使えば安全かといえば、決してそんなことはない。

　そもそもプログラムにはバグがつきもので、同じような問題、あるいはまったく異なるが今回の件と同じような致命的な脆弱性がほかのWebブラウザに起こる可能性はないとは言えないからだ。もちろんソフトウェアを作るプログラマは、できるだけ完全なプログラムを作るように努力しているが、それでも作っているのが人間である以上、想定されていないようなバグが後から発見されることはよくあるし、今後もそれをゼロにすることは不可能だ。これは、いつの時代になっても自動車のリコールがなくならないのと同じで、完全無欠なソフトウェアはおそらく永遠に実現しないだろう。

　大事なことは、完璧を求めるのではなく、バグが発見された時に可及的速やかに対応して貰えるかどうかだ。つまり、自動車の欠陥もどうしてもなくならないが、それでも社会的に問題にならないのは、リコールという制度が存在していて、自動車メーカーが速やかに対応する仕組みがあるためだ。ソフトウェアもそれと同じで、バグがあることは避けられないが、ソフトウェアメーカーがその対策に可及的速やかに対応するかどうか、それこそがユーザーが求めるべきことなのだ。

　その点で、今回のMicrosoftの対応は、ものすごく速かったとは言えないが、ソフトウェアメーカーの対応としては十分に速い部類だったと言ってもよい対応だった。すぐに手動の対応策が発表され、数日中にはパッチがWindows Updateで公開された点は十分評価に値すると思う。通常Microsoftは、月の第二週の火曜日（米国時間、日本時間だと第2週水曜日の朝）に定例のアップデートを配布するというスケジュールにしているのだが、今回は緊急性が高いとしてその例外としてアップデートの配布が行われている。かつ、今回Microsoftは、先日サポート対応が終わったばかりのWinodws XPに関しても、特別例としてこの対応パッチを配布するという対応をしている。ただし、Microsoftは今回は例外中の例外としており、今後同じようなバグが発見された時にも、Windows XPへの対応は行われない可能性があるので、今回の件で危機感を覚えたWindows XPユーザーの人は、最新版のWindows 8.1を搭載したPCへの乗換を検討していただきたい。

　すでに述べたとおり、ソフトウェアにはバグがつきものであり、大事なことはそれへの対応がきちんと行われるかどうかであること。その観点からすればMicrosoftの今回の対応は満点とは行かないかもしれないが、かなりの高得点だと評価していいのではないだろうか。その意味で、今回のMicrosoftの対応はInternet Explorerを使う十分なモチベーションになっていいと思う。もちろん、GoogleのChromeやFirefoxも定期的なバージョンアップなどでこうしたバグへの対応を行っており、今回Internet Explorerから乗り換えてみてそちらの方が気に入ったのならそれを使い続けるのもわるくないと思う。

　今回の騒動があぶり出したことは、どんなソフトウェアでも完璧なモノはなく、定期的なメンテナンスこそ重要、ということだ。難しいことは考えずに安全にインターネットを使いたいと思うのであれば、ぜひともWindows Updateの自動アップデートの機能はオンにしておいてほしい、それが最も確実な対策だということを今回の記事のまとめとしておきたい。