未解決の脆弱性を突くゼロデイ攻撃が相次ぎ発生、不正操作される恐れ

Microsoft XML Core Servicesの未解決の脆弱性を突く「Metasploit」のモジュールが公開された。別のIEの脆弱性は、情報が一般に公開される前から悪用されていた。

[鈴木聖子，ITmedia]

　米MicrosoftのXML Core Servicesに未解決の脆弱性が見つかった問題で、脆弱性悪用コード検証ツール「Metasploit」にこの脆弱性を突くモジュールが追加された。米セキュリティ機関SANS Internet Storm Centeが6月16日のブログで明らかにした。これとは別に、Microsoftが12日の月例更新プログラムで対処したInternet Explorer（IE）の脆弱性も、情報が一般に公開される前から悪用されていたことが分かっている。

　XML Core Servicesの脆弱性はXML Core Services 3.0／4.0／5.0／6.0に存在し、サポート対象の全WindowsとOffice 2003／2007が影響を受ける。問題を悪用された場合、Internet Explorer（IE）を使って不正なWebサイトを表示しただけでリモートでコードを実行される恐れがある。

　この脆弱性はGoogleが発見してMicrosoftに通報したもので、Microsoftが6月12日に情報を公開した時点で、既に標的型攻撃の発生が確認されていた。これに先立ちGoogleは、「国家が関与する攻撃」がGmailのユーザーに対して仕掛けられていると伝えていたが、この攻撃に使われたのがXML Core Servicesの未解決の脆弱性だったとの情報もある。

　一方、セキュリティ企業のMcAfeeやSymantecによると、12日の月例更新プログラムで修正されたIEの脆弱性は、6月1日の時点で既に悪用され、国際人権団体Amnesty Internationalの香港支部のWebサイトに脆弱性を突くコードが仕掛けられていたという。

　XML Core Servicesの脆弱性を解決するためのプログラムはまだ公開されていないが、Microsoftは当面の措置として、一時的な対策を自動的に実装できる「Fix it」機能を提供している。

　Symantecは「攻撃の大部分は既知の脆弱性を悪用しており、未解決の脆弱性を突くゼロデイ攻撃は一般的とはいえない」としながらも、今回はそうしたゼロデイ攻撃が相次いで発覚したことを受け、「今後は同様の攻撃に利用されるゼロデイの脆弱性が増えるのだろうか」と問い掛けている。