ニュース
2004/04/10 12:35 更新


IE脆弱性を狙ったウイルスが登場、MSは「対策を進めている」

Internet Explorer(IE)に存在する脆弱性を悪用したウイルスがいくつか登場したことを背景に、US-CERTが警告を公開。一方マイクロソフトは、この脆弱性への対策を進めているところという。

 US-CERT(米CERT/CC)は4月8日、Internet Explorer(IE)に深刻な脆弱性が存在し、それを悪用した実証コードも出回っているとして警告を発した(別記事参照)。マイクロソフトはこの件を認識しており、詳細は明らかにできないものの、現在対策の準備を進めているところという。

 この問題は、IEのInfoTech Storage(ITS)プロトコルハンドラに起因する。MIME Encapsulation of Aggregate HTML Documents(MHTML)を悪用し、悪意あるスクリプトを仕込んだCompiled HTML Help(CHM)ファイルを含むHTMLファイルを参照させることで――つまり、何らかの形でWebサイトに誘導するか、HTML形式の電子メールを送り付けることによって、IEを動作させているユーザーと同じ権限でそのスクリプトを実行させることが可能だ。

 本来こういったスクリプトは、挙動に制限が加わるインターネットゾーンが適用されるべきだが、ITSプロトコルハンドラの脆弱性を悪用された場合はこのセキュリティ制限が回避され、ローカルにあるものとみなされる。本来のセキュリティドメインを越え、任意のファイルをMy Computerゾーンで実行されたり、重要なデータを盗み見られる恐れがある。

 なお悪いことに、この脆弱性が影響するのはIEだけではない。IEのWebBrowser ActiveXコントロールやIE HTMLレンダリングエンジン(MSHTML)を利用しているOutlookやOutlook Expressなども影響を受ける可能性がある。

 そもそもこの問題は、セキュリティ関連のメーリングリストで1カ月以上前に指摘され、公に警告されていた。そして3月末から4月初めにかけて、実証コードに加え、Bugbear.C(シマンテック)Bloodhound.exploit(もしくはBackdoor.Nibu.D、シマンテック)といったウイルスが登場してきた。

 しかしながら、問題の根本的な解決策――マイクロソフトからのパッチ――はいまだ存在しない。マイクロソフトではこの脆弱性について、「危険度は高い」と認識しているというが、同時に、攻撃者が不正なサイトへ誘導を試みたとしても当該サイトが停止している場合もあることなどから「実際の被害が極端に大きくなる類のものではない」とも判断。現在、対策を進めているところだという。

 パッチが登場するまでの回避策としてUS-CERTは、ITSプロトコルハンドラを無効にするほか、一般的なセキュリティ対策として、

  • IEのActiveスクリプトおよびActiveXの機能を無効にする

  • 電子メールやIMを通じて勝手に送りつけられたURLを不用意にクリックしない

  • ウイルス対策ソフトウェアを最新のものに更新しておく

    といった項目を挙げている。また普段の作業をする分にはAdministrator権限でログインしないことも重要だ。場合によっては、他のWebブラウザの利用も検討すべきだろう。

     なおインターネット セキュリティ システムズの高橋正和氏は、この脆弱性が悪用されるケースとして「Webも問題だが、どちらかというとHTMLメールのほうがさらに危険では」とコメント。マイクロソフトも同様に、特に留意すべき点として「メールなどで送られてくるリンク(URL)は、信頼できる送信者からであることが確認できない場合はクリックしない」という対策を挙げている。

    関連記事
    ▼IEに脆弱性、完全な解決策は存在せず

    関連リンク
    ▼US-CERT:Technical Cyber Security Alert TA04-099A
    ▼US-CERT:Vulnerability Note VU#323070

    [高橋睦美,ITmedia]

    Copyright © ITmedia, Inc. All Rights Reserved.