マイクロソフト、「Internet Explorer」脆弱性への対応策を公開

　「Internet Explorer（IE）」のバージョン6～9のユーザーはまたしても修正パッチのないセキュリティ脆弱性と戦っているが、Microsoftは防御を強化するためのいくつかの対応策を提示した。

　先週末に発見されたこのセキュリティホールは、悪意のあるウェブサイトにアクセスするIEユーザーのPCのセキュリティを侵害する可能性がある。Microsoftによると、同社はこの脆弱性を利用しようとする攻撃を既に確認しているという。

　パッチはまだ公開されていないので、自分の身を守るのはIEユーザーの責任である。新しいMicrosoft Security Advisoryで、いくつかの推奨される対応策が提示されている。

　第一に、いつものアドバイスは、あらゆる場合に当てはまる。最新のウイルス対策およびスパイウェア対策ソフトウェアを実行していること、そして、サードパーティー製ユーティリティであれ、「Windows」に内蔵されているものであれ、何らかのファイアウォールを使用していることを確認するよう述べている。

　Microsoftが公開している「Enhanced Mitigation Experience Toolkit（EMET）」をインストールすることもできる。EMETは、マルウェア作者が迂回しなければならないセキュリティ障害物の壁を構築することで、ソフトウェアホールに対する攻撃からの防御を試みる。EMETは、ほかのさまざまなアプリケーションに加えて、IE向けに特別な設定をすることも可能だ。

　IEのインターネットおよびローカルイントラネットのセキュリティ設定を「High（高）」に上げるという選択肢もある。これを実行するには、IEを起動して「Tools（ツール）」メニューをクリックした後、「Internet Options（インターネットオプション）」を選択する。「Security（セキュリティ）」タブをクリックして、インターネットゾーンを選択する。「このゾーンのセキュリティのレベル」の下にあるスライダーを「High（高）」に移動させる。「Local Intranet（ローカルイントラネット）」ゾーンを選択して、ここでもセキュリティレベルを「High（高）」に上げる。

　ユーザーはインターネットおよびローカルイントラネットゾーンの両方で、「Active Scripting（アクティブスクリプト）」を「Prompt（ダイアログを表示する）」に設定することもできる。これを実行するには、再びIEの「Tools（ツール）」メニューから「Internet Options（インターネットオプション）」を選択する。「Security（セキュリティ）」タブをクリックする。インターネットゾーンをクリックした後、「Custom Level（レベルのカスタマイズ）」を選択する。Scripting（スクリプト）の項目までスクロールダウンして、「Active Scripting（アクティブスクリプト）」を「Prompt（ダイアログを表示する）」に設定する。ローカルイントラネットゾーンについても、同じ手順を繰り返す。

　Microsoftが警告しているように、これらの設定を変更すると一部のウェブサイトにアクセスできなくなる可能性がある。

　設定を「Prompt（ダイアログを表示する）」に変更するだけでも、「ActiveX」コントロールを使用するウェブサイトにアクセスするたびに煩わしいメッセージが表示され、ユーザーにそのサイトを許可するか、ブロックするかを尋ねるようになる。

攻撃を受けたInternet Explorer 9
提供：Rapid7

マイクロソフト、IEの脆弱性を解決するための更新プログラムを数日以内にリリースへ