MS、「VBScript」エンジンに深刻な脆弱性--月例パッチで対処

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2018-05-10 10:42

 Microsoftは米国時間5月8日、月例の「Patch Tuesday」アップデートで、「Windows」の「VBScript」エンジンの深刻な脆弱性に対処した。攻撃者はこの脆弱性を悪用して、「Internet Explorer」(IE)経由でWindowsマシンのセキュリティを破ることができる。

 Qihoo 360 Core Securityの研究者らは4月、豊富なリソースを持つハッカーたちが、その時点ではIEのゼロデイ脆弱性と思われていた脆弱性を悪用して、「世界規模」でWindows PCを感染させている、と警告していた。今回のパッチはそれに続くものだ。

 Qihoo 360 Core Securityが「Double Kill」と呼ぶこのIE攻撃は、バックグラウンドで悪意あるウェブページを開く「Office」文書を通して実行されていた。

 Microsoftはアドバイザリの中で、深刻なバグ(「CVE-2018-8174」)の発見にあたりQihoo 360 Core Securityの研究者とKaspersky Labのマルウェアアナリストの功績を認め、リモートコード実行の脆弱性はInternet ExplorerではなくWindowsのVBScriptエンジン内に存在するとして詳しく説明している。また、同社はInternet Explorerを通してこのバグを悪用できることを説明した。

 Microsoftは、これがQihoo 360 Core Securityの報告したバグであると明記していないが、この脆弱性が実際に悪用されている可能性を指摘している。

 「ウェブベースの攻撃シナリオでは、攻撃者はInternet Explorerを通してこの脆弱性を悪用するために特別に作られたウェブサイトをホストし、ユーザーにそのウェブサイトを閲覧するよう誘導することができる」(Microsoft)

 「攻撃者はVBScriptエンジンをホストするアプリケーションやMicrosoft Office文書に『初期化しても安全』とマークした『ActiveX』コントロールを埋め込むこともできる」(Microsoft)

 Kaspersky Labのマルウェアアナリストによると、同社が確認した攻撃は悪意ある「Word」文書から始まり、この文書が開かれると、ウェブページ上にホストされているVBScriptで記述されたエクスプロイトのダウンロードが始まるという。

 Kaspersky Labのマルウェアアナリストは、このエクスプロイトがQihoo 360 Core Securityが報告したDouble Kill攻撃と同じものだとみている。

 Microsoftは8日のPatch Tuesdayアップデートで合計67件の脆弱性を修正した。 そのうち21件は深刻度が最も高い「緊急」と評価されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]