中国と関係のあるハッカーがMicrosoftのInternet Explorerに存在するゼロデイ脆弱性を使って、Google、Adobe、Juniper Networksを含む米国の30社以上の企業に侵入した。
Microsoftによれば、この脆弱性は未修正で、標的がブービートラップを仕掛けたウェブサイトに誘導されたり、悪質なオンライン広告を見たりした場合に、リモートからコードを実行される攻撃につながる可能性がある。
GoogleとAdobeが、公式に自社の企業ネットワークが中国の組織的な洗練された攻撃者によって侵害されたことを認めたのに続き、Microsoftはセキュリティアドバイザリの形でこれを認めた。
Googleはこの攻撃は非常に標的を絞ったもので、知的財産が盗まれたと述べている。Adobeも同じ攻撃で同社のネットワークが侵害されたことを認めたが、何が盗まれたかについては詳しい情報を明らかにしていない。
Juniper Networksは発表文の中で、同社が「多数の企業に対する洗練されたターゲット型の攻撃によって生じたサイバーセキュリティインシデント」について調査していると述べている。
この攻撃は台湾からのもので、発信元にはハイジャックされたRackspaceが所有するインターネットアドレスが含まれるという話も出ている。ホスティング会社のRackspaceは、同社のシステムがこの攻撃で「非常に小さい役割を演じた」ことを認めた。
このサイバー攻撃の詳しい情報が明らかになりつつある。セキュリティ研究者のDan Kaminsky氏によるこれらの攻撃の1つで使われたIEの脆弱性についての簡単な説明では、この攻撃はInternet Explorer 6を使用しているWindows XPマシンを標的にしたものだという。
Microsoft Security Response CenterのディレクターであるMike Reavey氏はこのことを認めた。Reavey氏は「現時点では、Microsoftは顧客に対する影響が広がっているとは承知しておらず、IE 6を悪用した標的型の限定的な攻撃だけが確認されている」と述べている。
以下は、Microsoftのアドバイザリからの抜粋だ。
この脆弱性はInternet Explorerの無効なポインター参照に存在します。オブジェクトが削除された後でも、特定の状況で、その無効なポインターにアクセスすることができる可能性があります。特別に細工された攻撃では、解放されたオブジェクトにアクセスしようとして、Internet Explorerでリモートでコードが実行される可能性があります。
マイクロソフトの現在までの調査で、Microsoft Windows 2000 Service Pack 4上のInternet Explorer 5.01 Service Pack 4は影響を受けず、Microsoft Windows 2000 Service Pack 4上の Internet Explorer 6 Service Pack 1、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7およびWindows Server 2008 R2 上の Internet Explorer 6、Internet Explorer 7およびInternet Explorer 8が影響を受けることを確認しています。
また、Reavey氏は危険について以下のように説明している。
攻撃を成功させるために、攻撃者は特別に細工したウェブサイトをホストするか、侵害されたウェブサイトを利用し、ユーザーを誘導しそのウェブサイトを閲覧させる可能性がある。ただし、すべての場合において、攻撃者がユーザーにこれらの悪意を持ったウェブサイトの閲覧を強制する方法はない。その代わり、攻撃者はユーザーを誘導しこのウェブサイトを閲覧させる必要があり、典型的な方法としては、電子メールやインスタントメッセージの攻撃者のウェブサイトへのリンクをクリックさせる手段が取られる。また、バナー広告やその他の手段で、影響を受けるシステムに対して特別に作成されたウェブコンテンツを表示させることもあり得る。Microsoftの調査では、インターネットセキュリティゾーンを「高」に設定しておくことで、ユーザーはこのアドバイザリで説明されている脆弱性から保護されるという結論に至った。
Microsoftは、この脆弱性を修正するため、IEに対する不定期の緊急パッチを公開することを検討している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
