Internet Explorer(IE)でゼロデイ脆弱性(CVE-2024-38112)が報じられても、「もう使っていないから関係ない」と判断されがちです。しかし企業環境では、レガシー業務や更改遅延により、IE相当のコンポーネントや互換機能が残存していることがあります。ゼロデイはパッチ提供前から悪用されるため、防御側が後手に回りやすい状況です。まずは「IE本体の有無」ではなく「IE依存の挙動が残っていないか」を確認する視点が重要です。
IEはサポートが終了しており、原則として利用継続は推奨されません。それでもActiveX前提の社内Webアプリ、古いスクリプトやプラグイン依存、端末更改の長期化などで例外運用が生まれます。さらにショートカットや社内ポータルのリンク設定が原因で、ユーザーが意図せず旧来機能を呼び出す場合もあります。情シスはアプリ依存関係、端末資産、起動経路(関連付け・リンク)まで含めて可視化する必要があります。
ブラウザのゼロデイは、標的型メールや業務連絡を装った誘導で成立しやすい入口です。リンククリックから攻撃ページへ誘導され、閲覧だけでコード実行や情報窃取につながる可能性があります。侵入後は認証情報の窃取、内部横展開、ランサムウェア実行へと連鎖しやすくなります。古い端末がネットワーク分離されていない、最小権限が徹底されていない、といった運用上の弱点が被害拡大の引き金になります。
短期的にはIEの利用停止を原則化し、例外が必要な端末を限定したうえでネットワーク分離とインターネット到達性の最小化を行います。加えてEDR/AVの重点監視、メール・WebゲートウェイでのURLフィルタリングやサンドボックス運用を強化し、隔離手順を確認します。中長期ではIE依存の社内Webアプリを計画的にモダナイズし、端末更改とパッチ適用率のKPI管理、例外申請プロセスを整備します。ゼロデイのように「パッチがない前提」を置き、分離・権限・監視・復旧力を組み合わせた対策へ移行することが、再発防止の要点です。
Internet Explorerにゼロデイ脆弱性「CVE-2024-38112」が発見:すでにサポート終了のブラウザが今なお重大リスクである理由
