IEサポート終了、法人組織が知っておくべき3つのポイント | トレンドマイクロ

サポート終了により脆弱性を悪用する攻撃に注意　2022年6月16日にマイクロソフトが提供するブラウザ IE（Internet Explorer 11）のサポートが終了します（https://docs.microsoft.com/ja-jp/lifecycle/products/internet-explorer-11）。
OSやソフトウェアのサポート終了はニュースなどで注目されることも多いですが、今回サポートが終了になるIEは法人組織にとって非常に大きなインパクトがあると言えます。まずは、当社をはじめとしたセキュリティ会社がソフトウェアのサポート終了を注意喚起する理由を説明します。

　一般的にどのようなソフトウェアであれ、サイバー攻撃に悪用される弱点が見つかることがあります。これをソフトウェアの「脆弱性」と言います。勿論、ソフトウェアをリリースする前に脆弱性がないかをチェックすることは必要ですが、事前に100%脆弱性が存在しないソフトウェアを開発することは困難です。そのため、後から脆弱性が見つかった場合、迅速に脆弱性をなくすためにソフトウェアベンダは「修正プログラム（パッチ）」を提供します。

サポートが終了するということは、そのソフトウェアに対する問い合わせなどが出来ない、ということだけではなく、原則として修正プログラムが提供されないことがセキュリティ上問題になります。「原則」と記載したのは理由があります。例えば、2017年に発生したランサムウェア「WannaCry」が悪用する脆弱性「MS17-010」は、既にサポートが終了したWindows XPなどに対しても修正プログラムが提供されました。しかし、これらは「例外」としてとらえ、法人組織はサポートが終了したソフトウェアを利用すべきではありません。

なぜIEのサポート終了は非常に大きなインパクトがあるのか　冒頭で「IEは法人組織にとって非常に大きなインパクトがある」と述べましたが、その理由を説明します。と言っても非常にシンプルです。ブラウザは多くの方が利用するソフトウェアだからです。ブラウザはインターネットでWebサイト（ショッピングサイトなども含む）を利用する際に使用することに加えて、法人組織が社内向けのポータルサイトや自社の独自システムなどを利用する際にも用いられることがあります。

　サイバー攻撃者もこのように多くの方が利用するソフトウェアの脆弱性は悪用できた時のインパクトも大きい（非常に多くの人に攻撃できる）ため、積極的に悪用します。2010年当時「ドライブバイダウンロード」という攻撃手法が注目を集めました。これはサイバー攻撃者が用意した不正なWebサイト（正規サイトを改ざんする場合もあります）にユーザをアクセスさせます。脆弱性があるブラウザを利用していると、アクセスしただけでマルウェアに感染する、というものです。「ガンブラー」というマルウェアが用いた手法のため、ガンブラーという名称をご存じのセキュリティ担当者も多いと思います。

　非常に世間を騒がせた攻撃方法である「ドライブバイダウンロード」ですが、近年はあまりその名称を聞かなくなったという方も多いのではないでしょうか。Googleが提供するChromeやマイクロソフトの新しいブラウザEdgeではドライブバイダウンロードができないかと言うと、実はそういうわけではなく悪用しようと思えばできてしまいます。しかし「自動更新」の機能があるためブラウザの脆弱性を悪用される可能性がIEに比べて非常に低くなっています。

　過去のIEは、わかりやすく言うとOS（Windows）の一部のような形のため、Windows Updateを行わないと更新されない（修正プログラムも適用されない）仕組みでした。しかし、IEの新しいバージョンやChrome、EdgeなどはブラウザがOSと切り離されており、ブラウザというソフトウェア単体でアップデートできます。また前述のように原則起動時に「自動更新」されるため、新しい脆弱性が見つかっても修正プログラムが提供されるとすぐに新しいバージョンの（脆弱性がない）ブラウザを利用できます。

OSやソフトウェアはバージョンアップすると便利な機能が使えるようになるだけではなく、セキュリティも強化されることが一般的で、そのわかりやすい例と言えます。加えて、新しいブラウザの中にはサンドボックスという技術が含まれていることがあります。このサンドボックスが含まれているブラウザでは、プログラムが実行される際、隔離した領域で実行されるので攻撃してもできることが少なく、影響を最小限に抑えることができます。

「社内システムにしか使っていないから問題ない」は間違い　一般のユーザと同様にPCのブラウザで外部のWebサイトを閲覧するだけであれば、多くのWebサイトが最新のブラウザに対応しているため、あえてIEのように古いブラウザを利用しようと思う方はすくないでしょう。法人組織で問題となるのは、社内向けのポータルサイトや自社の独自システムなどを利用する際にブラウザを利用しているためと言えます。前者の社内向けのポータルサイトは、マイクロソフトが提供するSharePointなど汎用的なソフトウェアで作成している場合は、古いブラウザでないと利用できない、ということはほとんどないでしょう。

　一方で、後者の自社の独自システムをブラウザで利用している場合は様々な障壁があります。まず、自社向けに完全に独自のシステムがある場合、新しいブラウザで動作するかを検証する必要があります。もし新しいブラウザで動作しない場合は、システムの改修が必要になります。自社が開発している場合も他社に開発を委託している場合でも工数や費用がかかります。そのシステムを開発していた人材が既にいない場合、システムを改修することが困難になることもあります。そうなると新しいシステムを導入する必要があるため、要件定義、発注先の選定、費用の見積もりなど非常に大きな影響がでてしまいます。そのため、古いブラウザで使用できるならそのまま使用する、という判断に至るケースがあることが想定されます。

　このようなケースの場合、必ずこういった声が上がります。「サポートが終了して修正プログラムが提供されなくても社内システムにしか使っていないから問題ないのではないか？」というものです。実はこれは大きな間違いです。勿論、通常のインターネットのように直接外部に接続しているわけではないので、「ドライブバイダウンロード」のように、外部から直接ブラウザの脆弱性を悪用されるというリスクは低くなります。しかし「脆弱性があるソフトウェアが含まれるPCを使用している」ということは、外部から別の手段で社内ネットワークに侵入されたのち、感染の拡大に悪用される懸念があるということです。

　自社の独自システムの場合、競合他社などが持っていない自社だけが保有している重要情報が含まれている可能性もあるため、侵入された際のインパクトも大きいのではないでしょうか。

まとめ　今回IEという長年使用されてきたブラウザのサポートが終了するため、数年前から新しいブラウザへの移行を進めていた法人組織も多いことかと思います。しかし、暫く使っていなかったシステムを利用しようとしたらIEでないと動作しない・・・ということが判明することなどもあります※1。
※1　ブラウザと社内システムの互換性の問題の場合、マイクロソフトが提供する新しいブラウザEdgeのIEモードを利用することも選択肢の１つです。

　トレンドマイクロでは、原則としてサポートが終了したソフトウェアはセキュリティリスクが高くなるため利用しないことを推奨しています。しかし、新しいシステムやブラウザの検証が長引き、一時的にIEを使わざるを得ないという状況がでてくることも想定されます。そういった場合は、脆弱性を悪用するサイバー攻撃を暫定的に防ぐことができる仮想パッチやIPSなどの低減策を一時的に講じることもご検討ください。但し、これは本当に「暫定的な対策」です。ご家庭で窓ガラスが割れた場合、一時的にブルーシートなどで覆ったとしても雨風に晒されるリスクが高まるのと同様に、安全性を考慮した場合、抜本的な対策（今回の話題ではサポート終了したソフトウェアは使用しない）を第一にご検討頂けると幸いです。

　また、サポートが終了するソフトウェアを継続利用する際には、経営層、セキュリティ責任者（CISO）及びセキュリティ担当者、各事業部などで残存リスクに対して共通理解を持つことが不可欠です。異なった認識を持ってしまうと、ある視点では早急な移行が必要、別の視点では使えるので問題ないといった異なる考えを持ってしまい、そこがリスクになるためです。利便性や移行コストと天秤にかける必要はありますが、サポートが終了したソフトウェアを使い続ける場合の問題点を洗い出し、法人組織全体で共通認識を定めることが求められます。