IE の脆弱性騒ぎ、必要以上に危険と騒ぎ立て「誤解」させたのはいったい誰なのか?

IEに見つかった「ゼロデイ脆弱性」、“タイミング”と“誤解”で騒ぎ拡大 | 日経 xTECH(クロステック)

ITPro のコラムが先般の IE 脆弱性騒ぎ、否「祭り」と言ってもいいほどの大騒ぎをプロの目で冷静に分析しています。
これぞ「プロ」の意見です。


そもそも、脆弱性ゼロデイ攻撃が発覚後、IPA はもちろん、国内ウィルス駆除ソフトのメーカーも、いずれも、

「まずは、MS 提示の回避策 (IE や OS の設定変更) を実施すべし。それが無理なら代替のブラウザを利用するのが望ましい。」

との案内を発信しています。

これが、プロの冷静な意見です。だってこの程度の脆弱性は毎月のように報告され、パッチがでているからです。
それがどうしてまた、「IE を開いただけで、酷いことが起きる。」なんて話になったのでしょう。


私は以前インフラ運用それもクライアントパソコンの運用に携わっていましたが。
私がもし今回の騒ぎに出くわしたとしたなら・・・・、


まずユーザーの目に見えることは何もしません^^;
システム管理者間で情報を共有して、普段よりもセキュリティ状況の監視は強化します。


でも、世間で騒ぎになれば、お偉いさん方が黙ってないでしょうから。
仕方なく、ファイアウォールで外部のサイトを利用出来ないようにブロックします。普段から外部サイトの利用状況を把握できていれば、業務上でよく利用されていて安全度の高いサイトにのみアクセスを許可することもできるでしょう。
社内サーバーへのアクセスはフリーです。だって、社内の業務システムが使えなかったら仕事にならないでしょう?社内のウィルス対策がしっかりと行われていれば、社内のサーバーに悪意あるプログラムが忍び込んでいる可能性は限りなく低いです。
意図的に脆弱性を狙った悪意あるサイトを開かない限り、今回の脆弱性は発現しません。


どうしても外部サイト利用が必要な場合には、もし環境があれば、サーバーに代替ブラウザをインストールして、クライアントパソコンからリモートデスクトップ(仮想マシン)として利用させます。
リモートデスクトップの準備が無ければ、個別にクライアントに FirefoxChrome を配布します。もちろん、これもソフトウェア配布の仕組みが常に整っているという前提のもとですが。


それにつけても、お馬鹿なのは官公庁や大企業のシステム担当者です。日頃から資産管理もされておらず、リモート管理の環境も整っていないため、短時間に多数の対象 PC に回避策を実施することは現実的ではない、という判断も有り得るでしょう。しかし、外部のサービスならともかく、組織内の Web サイトにも IE 禁止って、おかしい。素人の対応ですよ。それは、社内のサーバーもセキュリティ対策が施されていないから、乗っ取られているかもしれず危険なんだ、と自らの無能を声高に叫んでいるのと同じです。IE脆弱性より、その組織のセキュリティ対策の脆弱性の方がよっぽど恐怖です。


「ほんとはそれほどじゃないのに」と心を痛めながらも、まわりの状況から、「IE 一切利用禁止!」を忸怩たる思いで発令したシステム担当者の方もいらっしゃるでしょう。その悔しさ、無力感、よくわかります。次はこんな事態にならないよう、基本的なセキュリティ対策そして有事の対策・計画、ユーザー啓蒙、上司への根回し等々、今からしっかりやっておくしかありません。頑張ってください!



これまでも同程度の脆弱性は毎月のようにあったのに、なぜこんな大騒ぎになったのか、ITPro の記事では、XP のサポート切れを理由のひとつにあげていますが、私はそれくらいのことでこんなになるものだろうか、と思います。
もしかすると、誰かが意図的に大声をあげて騒ぎを大きくしたのではないかとも疑っています^^;


どうあれ、そんな騒ぎのなかで、メディアが伝えるべきは、官公庁や大企業が利用を禁止したという事実とともに、危険は少ないという真実です。


個人的にも何度も「危険は少ない」とツイートを繰り返しましたが、リツイートも返信もほとんどありませんでした。
騒ぎが広がってしまった状態でなくても、無名ブロガーごときがどう喧伝しても、皆聞く耳もちませんよね。
しかも、東日本大震災の時にも経験しましたが、ネガティブな噂(or 嘘)ほど拡散しやすい。


無名の個人がいくら頑張っても、なんの効果もないですから、是非とも影響力のある権威ある人 or 団体が声を張り上げて、真実を告知してほしいです。お願いします。