インターネットエクスプローラーの不具合について

概要

Microsoft 社の Internet Explorer に、悪意のある細工がされたコンテンツを開くことで任意のコードが実行される脆弱性が存在します。
この脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御され、様々な被害が発生する可能性があります。

Microsoft 社は「脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラム(MS14-021)を適用して下さい。

対象

以下の Microsoft 製品が対象です。

  • Internet Explorer 6
  • Internet Explorer 7
  • Internet Explorer 8
  • Internet Explorer 9
  • Internet Explorer 10
  • Internet Explorer 11

2014 年 4 月 9 日にサポートが終了した Windows XP の Internet Explorer 6 も対象となっています。

対策

1.脆弱性の解消 – 修正プログラムの適用

マイクロソフト社から提供されている修正プログラム(MS14-021)を適用して下さい。修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。

独立行政法人情報処理推進機構からの情報
http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

2.回避策

上記の「修正プログラムの適用」が実施できない場合は、Microsoft 社のアドバイザリ(2963983)では 6 つの回避策(Workarounds)が提示されています。いずれか 1 つを実施してください。企業や組織においては、回避策による業務システム等の影響有無を検証し、適切な回避策を選択してください。Microsoft 社は、画面の画像を用いて詳細に回避策を解説した「回避策まとめ」および疑問に Q&A 形式で回答した「FAQ まとめ」を公開していますので併せてご参照ください。

回避策の中から 2 つを紹介します。即座に対応するならば、2 番目の回避策「VGX.DLL を無効にする」を実施してください。

  • Enhanced Mitigation Experience Toolkit (EMET) 4.1 を使用する
    EMET 4.1 は、ソフトウェアの脆弱性が悪用されるのを防止するために Microsoft 社が提供しているツールです。EMET 4.0 を使用中であれば 4.0 でも効果があります。詳細は Microsoft 社の「回避策まとめ」をご参照ください。
    導入する際には、次のページを参考にしてください。Enhanced Mitigation Experience Toolkit
    http://support.microsoft.com/kb/2458544/ja
  • VGX.DLL を無効にする
    5/1 11:00 更新 [重要] Microsoft 社のアドバイザリ(2963983) が 4/30 午後に更新され、
    「VGX.DLL の無効」の手順に管理者権限でコマンドを実行する必要があることが追加されました。IPA が本ページに記載していた内容は Microsoft 社が最初に提示されていた手順と同じであったため、
    管理者権限で実行するための手順が不足していました。以下の手順に添って再度実施してください。

    1. コマンド プロンプトを管理者権限で開く
      Windows Vista、Windows 7 の場合: [スタートボタン] – [すべてのプログラム] -[アクセサリ] – [コマンドプロンプト] を右クリックし、「管理者として実行」をクリックします。
      Windows 8、Windows 8.1 の場合:  デスクトップで [スタートボタン] を右クリックし、[コマンドプロンプト (管理者)] をクリックします。
    2. コマンドを実行する
      Windows の [スタート] メニューをクリックして [ファイル名を指定して実行] をクリックし (または Windows キー + R キーを押し)、表示された入力欄に以下のコマンド(コンピュータへの命令文)を貼り付けて [OK] ボタンを押すことで、以下のコマンド(文字列)をコピーし、手順 1 で表示されたコマンドプロンプトの上で右クリックし、[貼り付け] をクリックします。コマンド(文字列)が貼り付けられたことを確認後、Enter キーを押します。

      本脆弱性に関連する VGX.DLL の登録を無効になります。これにより VML (Vector Markup Language) によるベクター画像が描画されなくなります。

      “%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

      4/30 19:30 追記
      64 ビット版 Windows の場合は、追加で以下のコマンドも実行してください。

      “%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll”

上記の回避策の詳細、およびその他の回避策は、Microsoft 社のアドバイザリ(2963983) および「回避策まとめ」をご参照ください。
3.代替案

上記の修正プログラムの適用または回避策が実施できない場合、一時的に Internet Explorer 以外のブラウザを使用してください。

その場合、ブラウザは最新の状態に更新してから使用してください。

代替ソフト

Firefox
http://www.mozilla.jp/firefox/

Firefox ブラウザ無料ダウンロード

Chrome
http://www.google.co.jp/intl/ja/chrome/browser/

マイクロソフトからの情報
https://technet.microsoft.com/ja-jp/library/security/2963983