トレンドマイクロは1月5日、Windowsが搭載するInternet Explorer(IE)のセキュリティ動向について、ブログで注意喚起した。
マイクロソフトは、1月13日以降にサポートポリシーを変更し、IEのサポート対象を「各オペレーションシステムに対応した最新版のIEのみ」とする。これにより、各OSの最新バージョン以外のIEは1月12日でサポートが終了する。各OS別のIEの最新版は、Vistaが9でそれ以降のOSは11となる。
トレンドマイクロの2015年11月末時点での調査によれば、個人向け製品の利用者332万人のうち、8万7000人が古いバージョンのIEを使っているという。
古いバージョンのまま使うと、脆弱性攻撃ツール(エクスプロイトキット)の標的になる恐れがある。同社は、2014年~2015年にかけてエクスプロイトキットによって攻撃が可能になっていたIEの脆弱性およびIE経由で攻撃可能な脆弱性を調査した。
この結果によると、毎年2~3個の脆弱性がエクスプロイトキットによって攻撃可能になっていた。脆弱性は、複数のバージョンのIEに影響を及ぼすケースが多い。例えば、CVE-2014-0322の「Internet Explorer のメモリ破損の脆弱性」は、当時最新であったIE11では影響がなく、IE9と10が影響を受けた。
マイクロソフトはこれまで、各OS上で使用可能な複数のバージョンのIEの脆弱性を確認し、それぞれに更新プログラムを配布してきた。今回のポリシー変更により、今後IEの脆弱性が見つかった場合、各OSでの最新バージョンのIEのみに更新プログラムを配布する。
トレンドマイクロは、利用者がエクスプロイトキットによる攻撃からPCを守るため、定期的にIEをアップデートし、常に最新の状態に保つことを強く推奨している。
エクスプロイトキットの多くは、修正プログラムの公開から7日間程度で終息に向かう傾向がある。そのため、PCを安全に保つには修正プログラムが公開されてから1週間以内にアップデートしなければならない。IEだけでなく、Flash、JavaなどのWeb閲覧時に使用されるアプリのアップデートを徹底すべきとしている。