米Microsoftは11月3日、Internet Explorer(IE)の未修正の脆弱性を突いた攻撃が発生したことを受け、アドバイザリーを公開して注意を呼び掛けた。セキュリティ企業の米Symantecもこの攻撃についてブログで解説している。
Microsoftによると、脆弱性はIE内部の無効なフラグ参照に起因するもので、悪質なコードを仕込んだWebサイトをユーザーが閲覧すると、リモートでコードを実行される恐れがある。IE 6〜8がこの問題の影響を受けるが、IE 8はデータ実行防止(DEP)機能によって保護されており、デフォルトの状態で問題を悪用される可能性は低いとしている。IE 9のβ版はこの脆弱性の影響を受けないという。
この問題を突いた標的型攻撃の発生も確認されたが、現時点での影響は「極めて限定的」であり、ユーザーに影響が出たという情報は入っていないとMicrosoftは説明する。悪用コードが見つかったWebサイトはこれまでのところ1つだけだが、発見された時点でMicrosoftは同Webサイトを停止させるための法的措置を講じ、既に悪用コードは削除されたという。
この攻撃についてSymantecは、攻撃者が特定の組織の特定の個人を狙って電子メールを送りつける方法で実行されたと解説している。
Symantecによると、問題の電子メールには正規のWebサイト上でホスティングされている特定ページへのリンクが記載されていた。攻撃者はこのWebサイトをハッキングして管理者の知らないうちに不正なコンテンツを挿入。脆弱性を悪用し、電子メールのリンクをクリックしてこのページを参照したユーザーが気付かないうちにマルウェアをダウンロードして実行してしまう状態にしてあったという。
Microsoftはこうした攻撃を避けるための一時的な回避策をアドバイザリーで紹介している。さらに、他社のウイルス対策製品でもこの問題を突いたマルウェアを検出できるよう、セキュリティ企業各社とも情報を共有している。同社の無料セキュリティ製品Security EssentialsやForefrontでは、同日中に定義ファイルを更新して対応すると表明した。
脆弱性を修正するための更新プログラムは現在開発中だが、「この問題は定例外リリースの基準は満たしていない」とMicrosoftは説明しており、月例セキュリティ更新プログラムでの対処になるとみられる。ただし攻撃発生の動向によっては状況が変わる可能性もあるとしている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR