【緊急レベル】Surface 2でゼロデイ脆弱性CVE-2014-1776を回避する方法
【5/2追記】Microsoftから緊急対策パッチKB2964358が公開されました。詳しくはこちらへ。
【4/30追記】Microsoftがセキュリティアドバイザリ2963983を改訂したため、補足記事を公開しました。そちらもあわせてご覧ください。
Surface 2のIE11も影響を受ける深刻なゼロデイ脆弱性が発見
Microsoftは、4月26日にIE6~11が影響を受けるゼロデイ(セキュリティパッチが未提供)の脆弱性が発見されたことを公表しました。
「リモートでコードが実行される」という非常に深刻な内容です。Surface 2の搭載するWindows RT8.1上のIE11も影響を受けます。
マイクロソフトは、Internet Explorer 6、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9、Internet Explorer 10、および Internet Explorer 11 で脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。
これは、リモートでコードが実行される脆弱性です。削除されたメモリ内、または適切に割り当てられていないメモリ内のオブジェクトに Internet Explorer がアクセスする方法にこの脆弱性が存在します。この脆弱性により、メモリが破損し、攻撃者が Internet Explorer の現在のユーザーのコンテキストで任意のコードを実行する可能性があります。
現時点ですでに攻撃は発生している一方、パッチは提供されていない状況で、ユーザ自身が自衛策を講じる必要があります。
この記事では、Surface 2でこの脆弱性を回避する方法を公式アドバイザリに沿ってご紹介します。
脆弱性を回避する方法は大きく分けて4つ。その内容は
Surface 2ではIEの一時使用中止はできない
今回の脆弱性は非常に深刻なため、米国の国土安全保障省はIEの一時使用中止を呼びかけたと報じられています。
米国土安全保障省は28日、マイクロソフトのネット閲覧ソフト「インターネット・エクスプローラー(IE)」のバージョン6から最新版までに未修正の欠陥が見つかったとして、使用を中止するよう警告した。代替ソフトを使うよう呼びかけている。
米、「IE」の使用中止を呼び掛け ネット閲覧ソフト :日本経済新聞
しかし、Surface 2で使えるブラウザは事実上標準装備のIEのみであることから、この方法では回避はできません。
そこで、別の方法をとる必要があります。
IEを使いながら脆弱性を回避する4つの方法
先ほど引用したMicrosoft公表のセキュリティアドバイザリ2963983には、パッチが提供される前の対処方法がまとめられています。
- Enhanced Mitigation Experience Toolkit 4.1 を使用する
- インターネットおよびローカル イントラネット セキュリティ ゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトをブロックする
- VGX.DLL の登録を解除する
- [拡張保護モードを有効にする] (Internet Explorer 11 の場合) と [拡張保護モードで 64 ビット プロセッサを有効にする]
このうち、Surface 2ユーザに有効なのはどれなのでしょうか?
暫定結論:IE11の拡張保護モードの適用+セキュリティゾーン「高」
結論から申し上げると、IE11の「拡張保護モード」の設定を有効にする方法を基本に、環境に応じて、セキュリティレベルを「高」にする方法を組み合わせるのがよいと思います。
以下、公式サイトの記述に沿って説明します。
「EMET4.1」は、デスクトッアプリのためSurface 2では利用できない
公式アドバイザリ2963983では、第一の選択肢として、「EMET4.1」の適用が挙げられています。これはゼロデイ脆弱性に対する防御を実現するMicrosoft製ツールです。
Enhanced Mitigation Experience Toolkit (EMET) は、IT プロフェッショナル、およびユーザーに対して、ハッカーが一般的な攻撃を通じて、システムへのアクセス権を取得するのを防御するために設計されたユーティリティです。EMET の使用で、ユーザーはセキュリティ緩和技術を管理することができ、これにより、攻撃者が与えられたソフトウェアに含まれる脆弱性を悪用することをより難しくします。
Enhanced Mitigation Experience Toolkit
Surface 2には適用できず。終了・・。
「セキュリティゾーンの設定」は設定が簡単
インターネット セキュリティ ゾーンの設定を変更し、ActiveX コントロールおよびアクティブ スクリプトをブロックすることは、この脆弱性の悪用を防ぐのに役立ちます。これには、ブラウザーのセキュリティ設定を「高」に設定して実行します。
「インターネットオプション」→「セキュリティ」からセキュリティ設定を「高」に変更します。設定方法としてはもっとも簡単です。
ただし、Webサイトの表示が崩れる場合があるので、対策の優先順位としては後述の「拡張保護モード」の方が高いのではないかと思います。
VGX.dllを登録解除するのは、操作方法が難しい
- [ファイル名を指定して実行] をクリックして、"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" と入力し、次に [OK] をクリックします。
- ダイアログ ボックスに、登録を解除するプロセスが正常に完了したことを確認するメッセージが表示されます。[OK] をクリックして、ダイアログ ボックスを閉じます。
脆弱性のあるライブラリを一時的に無効にする方法です。コマンド入力を伴うので、システムの操作に習熟した方でないと設定は難しいのが難点です。また、脆弱性が解消された後に設定を元に戻す必要があります。
拡張保護モードを有効にする
Internet Explorer 11 をお使いのユーザーは、Internet Explorer のセキュリティの詳細設定を変更することにより、この脆弱性が悪用されないように保護できます。これを行うには、ブラウザーで拡張保護モード (EPM) の設定を有効にします。このセキュリティ設定は、Windows 7 for x64-based systems およびすべての Windows 8/Windows 8.1 クライアント上で Internet Explorer 11 のユーザーを保護します。
Internet Explorer で EPM を有効にするには、次のステップを実行します。
- Internet Explorer の [ツール]メニューの [インターネット オプション]をクリックします。
- [インターネット オプション]ダイアログ ボックスで、[詳細設定]タブをクリックし、設定の一覧の [セキュリティ] セクションまで下へスクロールします。
- [拡張保護モードを有効にする]および[拡張保護モードで 64 ビット プロセッサを有効にする] (64 ビット システムの場合) の横のチェック ボックスがオンになっていることを確認します。
- [OK]をクリックし、変更を許可し、Internet Explorer に戻ります。
- システムを再起動します。
セキュリティレベル「高」設定と並んでハードルの低い対策です。
私のSurface 2では、既定では設定が「オフ」なっていました。これを「オン」に変更してシステムを再起動すれば設定終了です。Surface 2は32ビットOSなので64ビット用の設定項目はありません。
設定が有効になっていると、危険な可能性のあるWebサイトを表示したときに警告が表示されるようになります。
拡張保護モードが有効な状態で、Internet Explorer の下部に「このWebページは、Internet Explorer のセキュリティ強化機能と互換性のない’XXX’ を実行しようとしています。」と表示された場合は、「コントロールの実行」ボタンをクリックすれば、メッセージが表示されているホームページだけ、拡張保護モードを無効にできます。
ただし、信頼性の確認がとれていないホームページでは、「コントロールの実行」ボタンをクリックしないことを、お勧めします。
富士通Q&A - [Internet Explorer 11] 拡張保護モードを無効にする方法を教えてください。 - FMVサポート : 富士通
結論:攻撃はすでに発生している。ただちに設定変更を!
全Surface 2ユーザーの皆様に、本記事でご紹介した回避策をただちに実行するとともに、Microsoftからの続報を確認されることをおすすめします。
本記事と同様にMicrosoftのセキュリティアドバイザリ2963983を元に解説しています。あわせて参照ください。
Internet Explorer の脆弱性対策について(CVE-2014-1776):IPA 独立行政法人 情報処理推進機構
参考:「拡張保護モード」とは何か?
「拡張保護モード」については、Microsoftの公式サイトに非常に詳しく解説されています。ご関心のある方は読んでみてください。
IE は保護モードが有効のサイトを表示する際時は IL が [低] の IE プロセスで処理します。保護モードが無効のサイトは IL が [中] のプロセストで処理します。こうして、インターネット上のサイトを権限の低いプロセスでホストして、仮にサイト内に OS への意図しない箇所への書き込み、読み込み処理が実装されていても、操作は権限制限によって失敗するので、悪意のサイトから OS のデーターを保護できます。
Blogs - Japan IE Support Team Blog - Site Home - TechNet Blogs