「Internet Explorer」(IE)に最近見つかった脆弱性を悪用し、スパムメールを送付して受信者を悪質なサイトへと誘導するサイバー犯罪が発生している。セキュリティ企業のWebsense Security Labs(本社サンディエゴ)は米国時間3月30日、この攻撃に対して警告を発した。
Websenseによると、誘導先の悪質なウェブサイトは広く使われているMicrosoftのブラウザ、IEに存在する脆弱性を悪用し、訪問者のコンピュータにキーロガーをインストールするという。
Websenseの警告には、「このキーロガーは、さまざまな金融機関サイト上の活動を監視し、得た情報を攻撃者にアップロードする」とある。キーロガーは、こうしたサイトへのログイン名やパスワードなどを収集する。これらの情報は転売されるほか、被害者の預金の詐取に使われる可能性もある。
Websenseの調査によると、攻撃者は、BBC News記事からの抜粋を含んだ電子メールを送り、悪質なサイトに人々を誘導するという。メールには「read more」(記事の続きはこちら)というリンクがあり、これをクリックすると偽のBBCのウェブページに接続され、悪意のあるソフトウェアが犠牲者の脆弱なPCにインストールされる仕組みだ。この攻撃は、IEの「createTextRange()」に関する脆弱性を利用したものだと、Websenseは警告で述べている。
問題の脆弱性は、IEがウェブページ内の「createTextRange()」というタグを処理する方法と関係している。この脆弱性が公表されたのは先週だが、それ以降、これを悪用するウェブサイトが200件以上も発見されたという。こうしたサイトは通常、スパイウェアやリモートコントロールソフトウェア、トロイの木馬などを脆弱なPCにインストールする。
Microsoftでは、現在この問題の修正に取り組んでいると述べている。現時点で、同社はこの脆弱性に対応する修正を、4月11日に予定されている次の月例セキュリティアップデートで公開するとしているが、公開を早めることも検討中だという。
一方、Microsoftに先んじるかたちで、2つのセキュリティ企業がこの問題への対策を既に打ち出している。eEye Digital SecurityとDeterminaは27日、IEのセキュリティホールに対応する非公式の対策プログラムを相次いで公開した。しかし、専門家は、ユーザーはMicrosoft以外から提供される非正式版の対策導入には慎重になるべきだとの意見で、非公式パッチの代わりに、IE以外のブラウザを使う、あるいはMicrosoftの勧告にあるように「Active Scripting」機能を無効にするなどして問題を回避するよう勧めている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ