どういった層がIEを利用しているのかはっきりとした区分けは不明だが、旧バージョンのWindowsを利用し続けるユーザーの他、前述のように企業で利用されるアプリケーション資産でいまだIE依存のものが存在し、その流れで利用ブラウザもIEになっているのではないかと推察する。
後方互換性のために用意されているEdgeのIEモードだが、基本的には企業内限定で管理者がグループポリシーを使ってホワイトリスト方式でIEモードを利用するサイトを指定する方式であり、例外としては「イントラネットに有効」のオプションが指定されていたときのみ、社内の当該サイトに対してはIEモードでのアクセスになる。
このため、Edgeからの“IEとして”のアクセスは限定的で、どちらかといえば当該のユーザーはIE11を“あえて”有効化して使っているということだろう。有名どころでは国税庁のe-Taxシステムが本稿執筆時点でWindows 10の場合“IE専用”となっていることが知られているが、このあたりの経緯は国際大学GLOCOM 客員研究員の楠正憲氏がコラムで解説している。
電子証明書の処理に機種依存となる仕様が盛り込まれていたのが原因の1つだが、かつて納税システムにActiveXが必須で環境依存から抜け出せなかった韓国の事例もあり、ライフサイクルの長いシステムにおける設計の難しさがうかがえる。
ユーザーとしての母数は非常に少ないながらも、IEが今日に続く“面倒な”事象を作り出してしまった時期から10〜15年近くが経過してなお、IE対応に頭を悩ませるWeb開発者が存在するのも事実だ。
例えばMozillaが発表している「Web DNA Report 2019」によれば、Web開発者がストレスを最も感じている要因として挙げているのが「(IE11など)特定ブラウザのサポート」だ。当該の解説ページにはいろいろ怨嗟(えんさ)の声が載っているが、大多数のユーザーがChromiumベースのブラウザ環境を利用する一方で、後はSafariやFirefoxをカバーすればいいという状況で、流儀が1つだけ大きく異なるIE11対応というのは大きな負担なのだろう。
また、現状ではサポートが続いているから比較的問題は少ないものの、やはりサポート終了時期にかかった古いブラウザを使い続けるのは相応にリスクがある。Bleeping Computerによれば、8月11日に提供が行われたセキュリティアップデートで塞がれた脆弱(ぜいじゃく)性は、2020年5月に韓国のある企業をターゲットに発生したハッキングで用いられたゼロデイ攻撃の入り口だったという。
CVE-2020-1380と呼ばれるIE11内のRCE(Remote Code Execution)とCVE-2020-0986と呼ばれるWindows GDI Print/Print Spooler APIの権限昇格を用いた複合攻撃で、入り口を開けた後に攻撃コードを送り込む「Use After Free」攻撃のテクニックが用いられたようだ。
脆弱性自体は、IE9時代からJavaScriptの実行エンジンに存在していたものということで、これが後にゼロデイ攻撃に利用されたことになる。新しいシステムであれば必ずしも安全というわけではないが、ソフトウェアが最新の状態に保たれ、サポートされ続けているということは重要だ。最新状態になっていないソフトウェアやその環境は、こうしたリスクと隣り合わせだと改めて認識したい。
Copyright © ITmedia, Inc. All Rights Reserved.