HOME情報セキュリティ届出・相談・情報提供安心相談窓口だより

本文を印刷する

情報セキュリティ

安心相談窓口だより

第17-10-373号
掲載日:2017年 10月 3日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

安心相談窓口だより

脆弱性の悪用を防ぐためWindowsアプリケーションの実行は新しいフォルダーで
~ Windowsアプリケーション開発者は脆弱性の確認と対処を ~

一覧を見る

IPAは、Windowsアプリケーション(以下、アプリケーション)※1に起因する脆弱性の公表が急増していることから、9月28日に注意喚起を行いました。※2本脆弱性は悪用することが難しく、IPAでは現時点で悪用された被害事例を確認していません。ただし、一般利用者は実行しようとするアプリケーションが対策済みかを確認することが困難で、安全性を判断できないという問題があります。

そのため、確実な判断ができない場合には、本脆弱性の悪用の可能性がある前提条件を満たさない環境を準備する必要があります。下記に示す具体的な対策例を参考に、安全性を確保することを推奨します。

脆弱性の悪用の可能性がある前提条件

1.細工されたファイルおよび脆弱性が存在するアプリケーションが同じフォルダーに保存されている

図1:脆弱性の悪用の可能性がある前提条件 その1
図1:脆弱性の悪用の可能性がある前提条件 その1

2.上記1.の状態でアプリケーションを実行する

図2:脆弱性の悪用の可能性がある前提条件 その2
図2:脆弱性の悪用の可能性がある前提条件 その2

具体的な対策例

悪用には細工されたファイルが同じフォルダーに保存されていることが前提条件となるため、アプリケーションを実行する際にはフォルダーを新規作成し、そのフォルダーにアプリケーションを移動した上で実行してください。これにより、万が一、細工されたファイルをダウンロードしてしまっていた場合や当該アプリケーションに脆弱性が存在する場合であっても、細工されたファイルを参照せずに済みます。

図3:フォルダーを新規に作成してアプリケーションを実行する
図3:フォルダーを新規に作成してアプリケーションを実行する

アプリケーションは一般的に広く普及していること、またJVN(Japan Vulnerability Notes)に公表されている件数の状況から、本脆弱性が存在するアプリケーションは相当数が潜在しているものと考えられます。予期せぬ被害を防ぐためにもフォルダーを新規作成する等、不要なファイルが存在しない環境でアプリケーションを実行することを推奨します。また、意図せずに細工されたファイルをパソコン内に保存、放置してしまわない様、不用意なダウンロードは避けたり、定期的にフォルダーの中身を整理したりすることも重要です。

なお、アプリケーション開発者においては、本脆弱性を作りこまないような体制、環境を整えておくと共に、現在、公開しているアプリケーションの脆弱性の有無を確認するといった対応も望まれます。

 
(※1) 
インストーラー、自己解凍書庫、ポータブルアプリケーション等のファイル
(※2) 
2017年9月28日【注意喚起】Windowsアプリケーションの利用における注意
https://www.ipa.go.jp/security/ciadr/vul/20170928_dll.html

アンケートのお願い

まもるくんからのお願い   よろしければ今後のサービス向上を図るため、「安心相談窓口だより - 脆弱性の悪用を防ぐためWindowsアプリケーションの実行は新しいフォルダーで」に関するアンケートにご協力ください。

アンケート画面へ

更新履歴

2017年10月3日 掲載

本件に関するお問い合わせ先

情報セキュリティ安心相談窓口
 Tel: 03-5978-7509 Fax: 03-5978-7518
 E-mail: 電話番号:03-5978-7509までお問い合わせください。
 技術本部 セキュリティセンター 野澤 中島

※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。