HOME情報セキュリティ【注意喚起】 Internet Explorer のサポートポリシーが変更、バージョンアップが急務に

本文を印刷する

情報セキュリティ

【注意喚起】 Internet Explorer のサポートポリシーが変更、バージョンアップが急務に

Windows OS ごとに異なるサポート継続バージョンへ移行を

2015年12月15日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

概要

 2016 年 1 月 12 日(米国時間)を過ぎると Microsoft 社が提供するウェブブラウザ「Internet Explorer」(以後、IE)のサポート対象が“各 Windows OS で利用可能な最新版のみ”にポリシーが変更されます(*1)。サポート対象外となる IE は、セキュリティ更新プログラムが提供されなくなるため、新たな脆弱性が発見されても解消することができません。脆弱性が見つかり攻撃者がそれを悪用すると、ウイルス感染により「ブラウザを正常に利用できなくなる」ほか「情報が漏えいする」などの被害に遭うおそれがあり(図1)、早急なバージョンアップが求められます(*2)


図1:IE のバージョンごとの影響(イメージ)

1. IE の脆弱性

 IPA が運営する脆弱性対策情報データベース JVN iPedia(*3)に登録されている IE 7 から IE 10 までの脆弱性対策情報は 2013 年 1 月から 2015 年 11 月までに 506 件ありました。そのうち 85%(430 件)は最も深刻度(*4)の高い「レベルIII(危険)」でした(図2)。


図2:IE 7 から 10 の深刻度別脆弱性登録件数(2013 年 1 月~2015 年 11 月)

2. サポートが終了した IE を使い続けるリスク

 利用している IE のサポートが終了すると、Microsoft 社からセキュリティ更新プログラムは提供されません。脆弱性が見つかり攻撃者がそれを悪用すると、ウイルス感染により「ブラウザを正常に利用できなくなる」ほか「情報が漏えいする」などの被害に遭うおそれがあります。


図3:サポートが終了した IE を利用し続けた場合のイメージ

 また、IE を用いて独自のソフトウェアを開発している場合、IE に脆弱性が見つかると、開発したソフトウェアも脆弱性の影響を受けるおそれがあります。

3. 対策

 サポートポリシー変更に伴い、使用中の IE が最新版であることが求められます。そのため Windows Update 実施により最新バージョンにしてください。その後 IE のバージョンを確認し、表の記載に該当しない場合は以下の Microsoft 社公式ページからサポート継続バージョンの IE をインストールしてください。
http://windows.microsoft.com/ja-jp/internet-explorer/download-ie

表:Windows OS 別 IE のサポートが継続されるバージョン
OS サポート継続バージョン
Windows Vista SP2 IE 9
7 SP1 IE 11
8 (*5) なし
8.1 Update IE 11
10 IE 11
Microsoft Edge
Windows Server 2008 SP2 IE 9
2008 R2 SP1 IE 11
2012 IE 10
2012 R2 IE 11

3.1. 一般利用者

 使用している IE のバージョンの確認方法は以下の通りです。

(1) IE 8 の場合


図4:IE 8 のバージョン確認方法


(2) IE 9 、10、11 の場合


図5:IE 9 、10、11 のバージョン確認方法

3.2. 組織のシステム担当者

 自組織で管理するシステムにおいて最新版の IE で動作するかを確認してください。以下のフローを参考に、必要な対応を行ってください。

 なお、下記の確認プロセスは IE でのみ動作するシステムを前提としたものです。


図6:確認フロー

  1. 自組織で管理するシステムが最新版の IE で問題なく動作するか確認してください。
  2. 最新版の IE へのバージョンアップを組織内で推進してください。
  3. システムの動作に問題が生じると確認された場合、互換表示(IE 9、10)やエンタープライズモード(*6)(IE 11 のみ)で動作するか確認してください。
  4. 互換表示やエンタープライズモードで動作することが確認された場合、最新版の IE にバージョンアップを行った上で、互換表示の設定を行ってください。
  5. インターネット接続のみを行うパソコンを用意し、最新版の IE にバージョンアップする等の運用を検討してください。
  6. システムを改修するか判断してください。改修する判断に至った場合、システム改修を行うだけでなく改修が完了するまでの運用方法も検討する必要があります。
  7. 改修が完了するまでは、引き続きインターネット接続のみを行うパソコンを用意し、最新版の IE へバージョンアップするといった運用を検討してください。
  8. 改修が完了した後、最新版の IE へのバージョンアップを推進してください。
  9. 将来の改修に向けた予算確保や実施時期の策定などの準備、検討を進めてください。なお、検討等の間もインターネット接続用のパソコンを用意し、IE を最新の状態に維持することが必要です。

3.3. ウェブサイト(サービス)運営者

 ウェブサイトでサービスを提供している場合、最新版の IE でサービスが利用可能かを確認してください。正常に動作しない場合はシステムの早急な改修が求められます。

3.4. ソフトウェア開発者

 開発したソフトウェアが最新版の IE で正常に動作するか確認してください。正常に動作しない場合、改修等の検討を行ってください。

4. ソフトウェアライフサイクルなどを考慮したシステムの運用を

 2016 年 1 月に迎える IE のサポートポリシー変更により、組織においてシステムの継続利用が困難になる場合があると考えられます。このような事態を避けるため、組織のシステム担当者は、システムの構築や更改、運用にあたり、(1)特定の製品に依存しないこと、(2)ソフトウェア製品のライフサイクルを考慮すること、などの計画性が求められます。

脚注

(*1) Internet Explorer のサポートポリシーが変わります。
https://www.microsoft.com/japan/msbc/Express/ie_support/別ウィンドウで開く

(*2) Internet Explorer TechCenter:
https://technet.microsoft.com/ja-jp/browser別ウィンドウで開く

(*3) IPA が公開する脆弱性対策情報データベース:
http://jvndb.jvn.jp/別ウィンドウで開く

(*4) 脆弱性の特性を同一の基準(CVSS v2)でレベルI(注意)、レベルII(警告)、レベルIII(危険)の3段階で分類したもの。

(*5) 2016年1月12日にサポート終了。OS をWindows 8.1 Update や Windows 10 へバージョンアップした上で、IE 11 または Microsoft Edge の利用を検討してください。

(*6) Internet Explorer 11(IE11)Enterprise Mode 影響調査報告書:
https://technet.microsoft.com/ja-jp/mt147433.aspx別ウィンドウで開く

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

E-mail:メール

更新履歴

2015年12月15日 掲載