ゴールデンウィークを襲ったIE問題、金融機関での対応秘話：萩原栄幸の情報セキュリティ相談室（2/3 ページ）

[萩原栄幸，ITmedia]

4月29日の対応

　金融機関では脆弱性対応とシステムへの影響を把握するためのテストの準備に追われていた。メガバンクではないのでテスト環境の構築といってもすぐに対応できない。セキュリティの専門家も少なく、業務特性を鑑みて「どの内容なら割愛できるのか」「何を重点的に稼働確認すべきか」「それらの優先度をどう決めるべきか」――相当に議論していた。それでも、まずできるところから始めようというので、深夜には本番系システムを慎重に動かしながら、別系統でテストを進めていたシステムが幾つかあった。

　ただ、テストをするにしてもある程度の割り切りをしなければいけない。また、Microsoftの技術情報やJPCERT コーディネーションセンターの情報から、「過大な心配は無用」と判断されつつもあった。今回の事態はシステムの不具合ではなく、IEの経路におけるデータ（社内システムであっても）やPCが汚染される可能性を極小化するための対応が重要であった。

　ユーザーに該当ブラウザの使用禁止を要請し、特に調査部などでインターネットを使うユーザーには作業を大幅に抑制してもらう。そして、ツールによる最大限の対策を講じ、ネットワークの入口を制御する部分でのログ調査などを通じて、汚染されていないことを確認しなければならなかったのである。

　しかし、もっと心配なことがあった。それはネットバンキングや法人顧客の振込などの全てにおいて、Webサイトに「推奨ブラウザ：マイクロソフト IE 10以上」といった内容が記載され、代替ブラウザに関して全く触れていなかったことだ。実際に4月28日の段階でも幾つか照会があったらしい。

　そこで問い合わせに対し、コールセンターから「お客様のご判断で別のブラウザが使えるというのであれば、それをご利用ください。どうしても心配であれば、個別に弊行にて対応します」と説明することになったようだ。ちょうどゴールデンウィークの最中でもあり、問い合わせの電話は少なかった。そして、翌日（4月29日）も祝日なので金融機関にとっては幸いだったようだ。

　なお、コールセンターでは法人や中級レベル以上の個人顧客向けに、個別対応として次の内容を説明する予定になっていたようだ。

• ChromeやFirefoxのインストール方法

どうしてもIEを使わざるを得ない場合には、

• Enhanced Mitigation Experience Toolkit（EMET） Ver3.1以上のインストール
• セキュリティゾーンの設定を「高」に設定
• アクティブスクリプトの無効化

　しかし、説明者自身が内容をよく理解していないため、B社のSE数人がコールセンターで待機することになったという。その他にもレジストリの解除やIE 11の拡張保護モードの利用などもあったが、これらの方法を電話で説明することは無理と判断された。金融機関が情報をメールやFAXで受け取り、処理をするという方法にしたらしい（5月1日早朝にパッチが提供されたので、実際にはほとんど使用されなかったようである）。

　一方、システムのテストではLANなどに一切接続せず、インターネットだけにつながったPCが数台準備されていた。主にIEとの親和性が高いChromeをインストールし、（当然テスト環境での試行をクリアしたPC）を翌日まで準備しておいたようだ。

　最悪の場合に顧客の要望に沿ってインターネットで作業を行うとの配慮からであった。ゴールデンウィーク中でもあり、企業顧客のほとんども5月7日までは休暇で、金融機関への対応ニーズは低いだろうという予想もあったからだ。夜間バッチや日中のデータ処理の仕組みでの対応も可能なよう、一部のトランザクション変更も含めて4月30日早朝には準備が整った。