IE 10に未解決の脆弱性、悪用攻撃の発生でIE 11に更新を

米軍関連サイトが、IE 10の未解決の脆弱性突く攻撃に利用されていたことが判明。この攻撃を仕掛けたグループは、これまでにも日本企業などを標的にしていたという。

[鈴木聖子，ITmedia]

　米MicrosoftのInternet Explorer（IE）10に未解決の脆弱性が見つかった。米軍関連のWebサイトにこの脆弱性を突くコードが仕掛けられていたことも分かり、米US-CERTは2月14日、脆弱性に関する概要を公開して注意を呼び掛けている。

　US-CERTによると、IE 10のMSHTMLライブラリに解放後使用の脆弱性が存在し、リモートからの任意のコード実行に利用される恐れがある。現時点での攻撃は、Adobe FlashをインストールしたIE 10を使っていて、脆弱性緩和ツールの「EMET」がインストールされていないシステムが標的になっている。

　IE 10以外のバージョンも影響を受ける可能性があるが、IE 11に対してはこの攻撃が通用しないことが確認されているという。

US-CERTの警戒情報

　セキュリティ企業のFireEyeは、米国の退役軍人向けのWebサイトがこの脆弱性を悪用した攻撃に利用されているのを2月11日に発見したと伝えた。同サイトに不正なコードが仕掛けられ、ユーザーが気づかないままIEの脆弱性を悪用するサイトにリダイレクトされる仕掛けになっていたという。

　この攻撃では、Windowsに実装されているセキュリティ対策のアドレス空間配置ランダム化（ASLR）やデータ実行防止（DEP）も迂回されていたとFireEyeは報告。攻撃側の狙いは、同サイトを利用した米軍関係者から軍の情報を盗み出すことにあったと推測している。

　今回の攻撃を仕掛けたグループは、これまでにも米政府や日本企業などを標的にしていたといい、こうした攻撃は今後も続く可能性が大きいと同社は警告する。

FireEyeの解析では今回の攻撃は、他の攻撃キャンペーンに使われた複数の攻撃基盤が関係している（FireEyeより）

　Microsoftはまだパッチを公開しておらず、現時点で脆弱性を解決する方法は存在しない。US-CERTは攻撃から身を守るための対策として、MicrosoftのEMET使用かIE 11へのアップグレード、または他の代替ブラウザの使用を奨励している。