ドイツ政府およびフランス政府は、「Internet Explorer(IE)」について、先ごろGoogleへのサイバー攻撃に用いられたゼロデイ脆弱性にMicrosoftが修正パッチを提供するまで、IEの利用を避けるよう国民に勧告を行った。
Microsoftは米国時間1月14日、IEの脆弱性が、Googleのインフラに対するサイバー攻撃に利用されたことを認めた。この攻撃は、中国の人権活動家の「Gmail」アカウントにアクセスを試みたもので、ほかにも同じ脆弱性が複数の米国企業への攻撃に用いられたという。
この攻撃コードは、無効なポインタ参照の脆弱性を悪用するもので、複数のメーリングリストのほか、少なくとも1件のウェブサイトで公開されていると、セキュリティ企業のMcAfeeは15日付のブログ記事で明らかにしている。
ドイツ連邦電子情報保安局(BSI)は現地時間15日、「緊急」レベルのこの問題にMicrosoftが対処するまで、ユーザーは他のブラウザに切り替えるべきだとの見解を示した。また、Microsoftが提示している回避策を当てにしないよう勧告している。
「Internet Explorerを保護モードで実行し、『Active Scripting』を無効にすれば、コンピュータはセキュリティ侵害を受けにくくはなるが、攻撃を完全に防ぐことはできない。したがって、Microsoftがパッチを公開するまで他のブラウザに切り替えることをBSIは推奨する」と、サイバーセキュリティを管轄する同局はプレスリリースの中で述べている。
BSIは、「Windows XP」「Windows Vista」「Windows 7」を実行しているコンピュータで、IEのバージョン6、7、8の利用を中止するよう国民に呼びかけている。
一方、フランスの政府機関CERTAも現地時間15日、Microsoftが修正プログラムを公開するまでIEの使用を控えるよう、国民に警告を発した。
「Microsoftからパッチが未提供の間は、他のブラウザを使用することをCERTAは推奨する」と、フランスのサイバーセキュリティ機関ANSSIに属するCERTAはアドバイザリの中で述べている。
CERTAは、ブラウザでインターネットを閲覧する際には、制限付きアカウントを使用し、なおかつJavaScriptとActiveXを無効にするよう強く勧告している。
Microsoftは、このエクスプロイトコードがすでに出回っていることを認めている。同社は、このコードが「IE 6」をターゲットにしたものだとして、IE 6よりセキュリティ保護機能の高い「IE 8」の使用を促す追加のアドバイザリを公開している。
「『Internet Explorer 8』を使用する顧客は、IE 8の高度なセキュリティ保護機能により、既知の攻撃や悪用の影響を受けない。顧客を保護するため、当社はすべての顧客に対し、ただちにInternet Explorer 8にアップグレードすることをお勧めする」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ