「Internet Explorer 」と「 Outlook Express 」解答および正解集計結果・その１

【日々変化するセキュリティの「常識」YES/NOクイズ】
（ダイヤモンド・セキュリティ・レビューとの合同企画）
http://www.vagabond.co.jp/c2/dsr/

特集特集

2002年3月14日（木） 12時00分

【日々変化するセキュリティの「常識」YES/NOクイズ】
（ダイヤモンド・セキュリティ・レビューとの合同企画）
http://www.vagabond.co.jp/c2/dsr/

　日々、新しい製品や概念が生まれ、いとまなく変化と膨張を続けるインターネットの世界。当然、セキュリティ分野においても、昨日まで「常識」であったことが、ある日を境に「非常識」になる、といったことは日常茶飯事であり、企業においてシステム管理する側にとっては、その都度の社内通達を余儀なくされていることだろう。
　そこで編集部では、あえて浸透率の高い日常的なツールやシステムにスポットを当て、YES/NO の二択クイズ形式にしてみた。今週は、先週掲示した設問の正解発表、その理由、集計した回答の正解率を明らかにしたい。

●「Internet Explorer 」と「 Outlook Express 」解答および正解集計結果・その１

　さきごろ、情報処理振興事業協会（IPA）は、2002年2月のコンピュータウイルス届出状況を発表した。届出件数は1,439件と2ヶ月連続で減少。しかしながら、セキュリティホール悪用型ウイルスが依然として6割を占めている。
　そんな状況と相まってか、今回のクイズには 585名もの方々に参加いただけた。読者の方々にとっては既知の面もあるだろうが、以下、理由を添えて発表したい。

【設問１】
『Internet Explorer は全てのアップデートを適用すれば安全である』
■ 正　解：NO
■ 正解率：96.3％

　正解はNO。もちろん、アップデートすること自体を否定しているわけではない。だが「アップデート＝100％安全」と認識することは危険であり、被害に遭った際の原因発見の遅延などにもつながる恐れがある。この設問の正解率は96.3％。ほぼ常識として浸透していることがうかがえた。

　アップデートが100％の安全をもたらさない理由は大きく分けてニつ。
　一つは当然ながら「パッチ開発のタイムラグ」によるもの。ユーザの環境、仕様を複数想定してテストを繰り返しての公開となるわけであり、最新の情報が即座にアップデートに入るわけではない。
　もう一つ、「アップデート」の語彙には、不具合を修正する事の他に、ソフトの機能向上なども含まれている（いわゆる“バージョンアップ”とまではいかない、小規模の機能向上）。その部分に、新たなセキュリティホールが発見されることも、十分考えられる。
　大切なのは、普段のセキュリティ情報と照らし合わせながら、アップデートを使いこなしていくことである。

【設問２】
『Active Script の使用を禁止すれば、外部からプログラムを実行されてしまうことはない』

■ 正　解：NO
■ 正解率：94.4％

　答えはNO。ActiveX オブジェクトから実行することも可能である。しかし、Active Scriptの機能を利用した攻撃も当然ながら存在するため、スクリプトの実行を禁止することは無駄ではない。
　表現を多彩にし、相互の利便性を図る機能を持つActive ScriptやActiveXだが、昨今ではそれを逆手にとり、アクセスしてきた相手に多大な被害をもたらす悪意の第三者も増加傾向にある。
　それらを警戒し、スクリプト機能を軒並みオフにするユーザも増えつつあるが、これもまた「スクリプトをオフにさえすれば万事OK」というわけではないので注意したい。
　最近では今年3月6日に、ActiveXやJavaをオフにしていても、IEとOutlookで任意のプログラムが実行される問題が発覚している（以下関連記事参照）。
≪関連記事≫
◇ IEとOutlookで任意のプログラムが実行される問題が発覚
https://www.netsecurity.ne.jp/article/1/4215.html

◇　署名済みActiveXコンポーネントの脆弱性を発見
https://www.netsecurity.ne.jp/article/2/4163.html

【設問３】
『ウイルス「Nimda」がメールを通じて感染しないように、Outlook Express のメールプレビュー機能を OFF に設定した』

■ 正　解：YES
■ 正解率：64％

　この措置自体はYES。ただし、緊急非難というべき方法である。
　「添付ファイルさえクリックしなければ安心」という通念はご存知のとおり、今となっては通用しない。「Nimda」のみならず、現在でも猛威をふるう「WORM_BADTRANS.B」「W32/Klez」など、InternetExplorerのセキュリティホールを利用してダイレクトアクション活動を行なうタイプは後を絶たない。
　望ましいのは、Windows Update で適切な対策を行なうこと。IE5.5SP1以前のものを使用している場合はSP2へのアップデートを。
　IE6でもよいが、必ずOutlook Expressを含む標準構成以上でセットアップすることをお薦めする。
　最小構成では、くだんのセキュリティホールは塞がっていないので要注意だ。

　さて正解率だが、今回の設問そのものが少々誤解を生む表現であったことをお詫びしたい。
　プレビュー機能をOFFにしても添付ファイルを開いてしまっては元も子もない、ということを考慮して、NOを選択した方もいると思われる。
　また、現在も続々と登場する亜種や新種のウイルスに対し「メールプレビュー機能をOFF に設定しただけでは心もとない」とソフトウエアそのものに危惧を覚えている方がNOを選択する、といったケースがないともいえないだろう。

≪関連記事≫
◇不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020
◇【マンスリーレポート　2002/01】「BADTRANS.B」が引き続き猛威ふるう
https://www.netsecurity.ne.jp/article/1/4031.html

【設問４】
『インターネットで買い物。盗聴されないよう、 Internet Explorer でアクセスしたときに、カギのアイコンが表示されるのを確認した』

■ 正　解：YES
■ 正解率：71.7％

　クレジットカード番号や個人情報などは、インターネットを経由して売り手へ届く。売り手と買い手との間に介在するものがある以上、情報が漏えいする可能性がないとは言い切れない。
　そこで、一つの安全の目安となるのが、IEのブラウザ右下に現れるカギのアイコンである。このアイコンが表示されていれば、通常そのサイトはSSLプロトコルの暗号化通信を実施しており、接続・情報のやりとりが安全であることを示している。また、当該サイトは通常URLが https:// から始まっているので、そこにも着目したい。

　現在のところ、SSLが導入されているケースで、ユーザが入力時にデータ漏出した、という事故事例は耳にしない（IE使用の場合）。それよりもむしろ、売り手の情報管理のずさんさやクラッキングなどからくる情報漏出のほうが、心配といえば心配である。

≪関連記事≫
◇語句説明：SSL（Secure Sockets Layer）
https://www.netsecurity.ne.jp/menu/general_word.html

【設問５】
『個人情報を集められないようにするため、Cookie を受け付けないよう設定したので、個人情報は守られている』

■ 正　解：NO
■ 正解率：88.8％

　Cookie を悪用したハッキング、クラッキング手法から身を守るため、多少の不便は我慢してOFFにブラウザを設定している方も多いことだろう。ただしCookieをOFFにしていても、個人情報を集めることは可能である。守るべき情報とそうではない情報を判断して、適切な設定をすることが望ましい。

　※【設問５】は、先週号では『個人情報を集められたくないので、Cookieを受け付けないように設定した』と掲載されていました。しかし、この表現はどちらにも取れる曖昧な表現であったため、3月7日の時点で変更いたしました。
誤解を招く表現であったことを深くお詫びいたします。

　注）当クイズの正解は、2002年3月12日時点でのものです。

　次週は、設問６〜設問10の解答、理由、正解率を掲示します。

《ScanNetSecurity》