ゴールデンウィークを襲ったIE問題、金融機関での対応秘話：萩原栄幸の情報セキュリティ相談室（1/3 ページ）

長期休暇期間の最中に浮上したInternet Explorerの脆弱性問題は社会的な騒動になった。筆者が対応した金融機関でのエピソードを紹介する。

[萩原栄幸，ITmedia]

　今回は先日まで騒がれたMicrosoftのWebブラウザ「Internet Explorer（IE）」の脆弱性問題における金融機関の対応について紹介したい。

4月28日の第一報から

　米国の友人からメールが届いた。それは、米国土安全保障省が出したIEの使用中止を要請する異例の声明である。同日の12時42分にJPCERT コーディネーションセンターからも警告メールが届いた。

　当初、筆者はWindows XPや旧バージョンのIE（IE 10まで）の脆弱性に関するものだろうと思ったが、「最新のIE 11も使用してはいけない」という内容を見てびっくりした。たまたま良く使うノートPCにはChromeやFirefoxもインストールしていたのでさほど困らなかったが、一般の人は大変混乱するだろうと感じていた。

　14時を過ぎた頃、以前にコンサルティングをしていた某金融機関のA部長から突然連絡があった。IEの脆弱性対応を支援してほしいという要請である。

　この金融機関はシステム会社のB社が全面的にサポートしていることを知っていたので、B社に依頼すべきだろうと返事をした。どころが、常駐のシステムエンジニア（SE）では状況が良く分からないといい、A部長は本社の上司にも連絡したが、具体的な指示が出せない状況になっていたという。そこで筆者に緊急対応を求めたようであった。

　筆者は以前の情報から、社内システムにおけるIEの利用状況を確認したり、それぞれについて代替ブラウザによる稼働確認を早急に行ったりすることが必要だと判断し、A部長に「B社の常駐SEの方々へ、テスト環境の整備やテストデータの作成、どこまで詳細にテストを行えばよいかなどの決断を行うように指示していただきたい」と伝えた。

　「不安ならIEを使わない」という前提で、どこまでシステムでの処理を凍結できるのか――Xシステムなら半日、Yシステムならバッチで代替可能なので3日間――など全てのシステムにおける耐性日時（実攻撃などの状況まで耐えられる期間）を決めるべきだと指示した。

　A部長に連絡しつつ、マイクロソフトの友人に緊急パッチがいつ頃リリースされるのかなど、社内での見解を聞いてみたしかし、どうにも生返事であった。どうやら、関係者は緊急かつ最大限の優先度で取り組んでいるものの、それが1時間後なのか翌日なのか、それとも１週間後なのかについては、少なくとも日本法人の中で確固たる情報が伝達されなかったようだった。