「Internet Explorer 」と「 Outlook Express 」解答および正解集計結果・その1 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.18(水)

「Internet Explorer 」と「 Outlook Express 」解答および正解集計結果・その1

特集 特集

【日々変化するセキュリティの「常識」YES/NOクイズ】
(ダイヤモンド・セキュリティ・レビューとの合同企画)
http://www.vagabond.co.jp/c2/dsr/

 日々、新しい製品や概念が生まれ、いとまなく変化と膨張を続けるインターネットの世界。当然、セキュリティ分野においても、昨日まで「常識」であったことが、ある日を境に「非常識」になる、といったことは日常茶飯事であり、企業においてシステム管理する側にとっては、その都度の社内通達を余儀なくされていることだろう。
 そこで編集部では、あえて浸透率の高い日常的なツールやシステムにスポットを当て、YES/NO の二択クイズ形式にしてみた。 今週は、先週掲示した設問の正解発表、その理由、集計した回答の正解率を明らかにしたい。


●「Internet Explorer 」と「 Outlook Express 」解答および正解集計結果・その1


 さきごろ、情報処理振興事業協会(IPA)は、2002年2月のコンピュータウイルス届出状況を発表した。届出件数は1,439件と2ヶ月連続で減少。しかしながら、セキュリティホール悪用型ウイルスが依然として6割を占めている。
 そんな状況と相まってか、今回のクイズには 585名もの方々に参加いただけた。読者の方々にとっては既知の面もあるだろうが、以下、理由を添えて発表したい。


【設問1】
『Internet Explorer は全てのアップデートを適用すれば安全である』
■ 正 解:NO
■ 正解率:96.3%

 正解はNO。もちろん、アップデートすること自体を否定しているわけではない。だが「アップデート=100% 安全」と認識することは危険であり、被害に遭った際の原因発見の遅延などにもつながる恐れがある。この設問の正解率は96.3%。ほぼ常識として浸透していることがうかがえた。

 アップデートが100%の安全をもたらさない理由は大きく分けてニつ。
 一つは当然ながら「パッチ開発のタイムラグ」によるもの。ユーザの環境、仕様を複数想定してテストを繰り返しての公開となるわけであり、最新の情報が即座にアップデートに入るわけではない。
 もう一つ、「アップデート」の語彙には、不具合を修正する事の他に、ソフトの機能向上なども含まれている(いわゆる“バージョンアップ”とまではいかない、小規模の機能向上)。その部分に、新たなセキュリティホールが発見されることも、十分考えられる。
 大切なのは、普段のセキュリティ情報と照らし合わせながら、アップデートを使いこなしていくことである。


【設問2】
『Active Script の使用を禁止すれば、外部からプログラムを実行されてしまうことはない』

■ 正 解:NO
■ 正解率:94.4%

 答えはNO。ActiveX オブジェクトから実行することも可能である。しかし、Active Scriptの機能を利用した攻撃も当然ながら存在するため、スクリプトの実行を禁止することは無駄ではない。
 表現を多彩にし、相互の利便性を図る機能を持つActive ScriptやActiveXだが、昨今ではそれを逆手にとり、アクセスしてきた相手に多大な被害をもたらす悪意の第三者も増加傾向にある。
 それらを警戒し、スクリプト機能を軒並みオフにするユーザも増えつつあるが、これもまた「スクリプトをオフにさえすれば万事OK」というわけではないので注意したい。
 最近では今年3月6日に、ActiveXやJavaをオフにしていても、IEとOutlookで任意のプログラムが実行される問題が発覚している(以下関連記事参照)。
≪関連記事≫
◇ IEとOutlookで任意のプログラムが実行される問題が発覚
https://www.netsecurity.ne.jp/article/1/4215.html

◇ 署名済みActiveXコンポーネントの脆弱性を発見
https://www.netsecurity.ne.jp/article/2/4163.html


【設問3】
『ウイルス「Nimda」がメールを通じて感染しないように、Outlook Express のメールプレビュー機能を OFF に設定した』

■ 正 解:YES
■ 正解率:64%

 この措置自体はYES。ただし、緊急非難というべき方法である。
 「添付ファイルさえクリックしなければ安心」という通念はご存知のとおり、今となっては通用しない。「Nimda」のみならず、現在でも猛威をふるう「WORM_BADTRANS.B」「W32/Klez」など、InternetExplorerのセキュリティホールを利用してダイレクトアクション活動を行なうタイプは後を絶たない。
 望ましいのは、Windows Update で適切な対策を行なうこと。IE5.5SP1以前のものを使用している場合はSP2へのアップデートを。
 IE6でもよいが、必ずOutlook Expressを含む標準構成以上でセットアップすることをお薦めする。
 最小構成では、くだんのセキュリティホールは塞がっていないので要注意だ。

 さて正解率だが、今回の設問そのものが少々誤解を生む表現であったことをお詫びしたい。
 プレビュー機能をOFFにしても添付ファイルを開いてしまっては元も子もない、ということを考慮して、NOを選択した方もいると思われる。
 また、現在も続々と登場する亜種や新種のウイルスに対し「メールプレビュー機能をOFF に設定しただけでは心もとない」とソフトウエアそのものに危惧を覚えている方がNOを選択する、といったケースがないともいえないだろう。

≪関連記事≫
◇不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020
◇【マンスリーレポート 2002/01】「BADTRANS.B」が引き続き猛威ふるう
https://www.netsecurity.ne.jp/article/1/4031.html


【設問4】
『インターネットで買い物。盗聴されないよう、 Internet Explorer でアクセスしたときに、カギのアイコンが表示されるのを確認した』

■ 正 解:YES
■ 正解率:71.7%

 クレジットカード番号や個人情報などは、インターネットを経由して売り手へ届く。売り手と買い手との間に介在するものがある以上、情報が漏えいする可能性がないとは言い切れない。
 そこで、一つの安全の目安となるのが、IEのブラウザ右下に現れるカギのアイコンである。このアイコンが表示されていれば、通常そのサイトはSSLプロトコルの暗号化通信を実施しており、接続・情報のやりとりが安全であることを示している。また、当該サイトは通常URLが https:// から始まっているので、そこにも着目したい。

 現在のところ、SSLが導入されているケースで、ユーザが入力時にデータ漏出した、という事故事例は耳にしない(IE使用の場合)。それよりもむしろ、売り手の情報管理のずさんさやクラッキングなどからくる情報漏出のほうが、心配といえば心配である。

≪関連記事≫
◇語句説明:SSL(Secure Sockets Layer)
https://www.netsecurity.ne.jp/menu/general_word.html


【設問5】
『個人情報を集められないようにするため、Cookie を受け付けないよう設定したので、個人情報は守られている』

■ 正 解:NO
■ 正解率:88.8%

 Cookie を悪用したハッキング、クラッキング手法から身を守るため、多少の不便は我慢してOFFにブラウザを設定している方も多いことだろう。ただしCookieをOFFにしていても、個人情報を集めることは可能である。守るべき情報とそうではない情報を判断して、適切な設定をすることが望ましい。

 ※【設問5】は、先週号では『個人情報を集められたくないので、Cookieを受け付けないように設定した』と掲載されていました。しかし、この表現はどちらにも取れる曖昧な表現であったため、3月7日の時点で変更いたしました。
誤解を招く表現であったことを深くお詫びいたします。


 注)当クイズの正解は、2002年3月12日時点でのものです。

 次週は、設問6〜設問10の解答、理由、正解率を掲示します。



《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×