Microsoftが米国時間1月14日に述べたところによると、Googleを含む多数の米国企業をターゲットとする攻撃者たちは先頃、「Internet Explorer(IE)」の新たなセキュリティホールを突くソフトウェアを利用したという。
Googleは今週、攻撃があったことを明らかにしたが、IEはそれらの攻撃で「媒介として利用されたものの1つ」とMicrosoftは声明で述べている。「現在までに、Microsoftはユーザーへの広範な影響を確認しておらず、『IE6』の脆弱性を悪用する限定的なターゲット型攻撃のみを確認している」と声明には書かれている。
Microsoftが14日午後にアドバイザリで述べたところによると、この脆弱性は「Windows 7」と「Windows Vista」「Windows XP」「Windows Server 2003」「Windows Server 2008 R2」で動作するIE6と「IE7」「IE8」、さらに「Windows 2000 Service Pack 4(SP4)」で動作する「IE6 Service Pack 1(SP1)」に影響を及ぼすという。
Microsoftによると、このセキュリティホールはIE内の無効なポインタ参照によるもので、攻撃対象がだまされて、電子メールやインスタントメッセージに含まれるリンクをクリックし、マルウェアをホスティングするウェブサイトに誘導されてしまうと、攻撃者はこの脆弱性を悪用してコンピュータを乗っ取ることができるという。「さらに、バナー広告などの手段を用いて、特別に作成されたウェブコンテンツを表示し、攻撃を受けたシステムにウェブコンテンツを提供することもできる可能性がある」とMicrosoftは声明で述べた。
Microsoftはフィックスの開発に取り組んでいるが、2月9日に予定されている次回の「Patch Tuesday(最新パッチを公開する毎月第2火曜日)」の一環として、あるいはそれよりも前にこの問題に対処するのかどうかについては、コメントしなかった。
IEのインターネットゾーンのセキュリティレベルを「高」に設定すると、ActiveXコントロールやアクティブコンテンツを実行する前にプロンプトが表示されるので、ユーザーはこの脆弱性から身を守ることができる、とMicrosoftは述べる。またユーザーは、オンライン攻撃を軽減するデータ実行防止(Data Execution Prevention:DEP)機能も有効にしておくべきだという。DEPは、IE8ではデフォルトで有効になっているが、それ以前のバージョンでは手動で有効にする必要がある。
Microsoftはアドバイザリの中でGoogleとMANDIANT、Adobe、McAfeeに対し、同社に協力してくれたこと、そして、今回の攻撃に関する詳細を提供してくれたことに謝意を著している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。 原文へ