Windows PCでInternet Explorer 6、7、8、または9をデフォルトのブラウザとして使用している場合、セキュリティ専門家は、MicrosoftがIEの重大な脆弱性を修正するまで、別のWebブラウザを使用するよう勧告しています。Microsoftは月曜日、ハッカーがIEの脆弱性を積極的に悪用し、攻撃者がPCを乗っ取る可能性があることを確認しました。この脆弱性は、Windows 8 Release PreviewでIE10を実行しているユーザーには影響しません。
マイクロソフトは、これまでにこの脆弱性を利用した「少数の標的型攻撃」の報告を受けていると述べています。同社はこの問題に対するセキュリティパッチの開発に取り組んでいますが、セキュリティアップデートをできるだけ早くリリースするのか、それとも毎月の「パッチチューズデー」アップデートサイクルの一環としてリリースするのかについては、まだ明らかにしていません。次回の「パッチチューズデー」は10月9日です。
このエクスプロイトは、セキュリティ企業Rapid7のMetasploitプロジェクトで公開され、セキュリティ研究者のEric Romang氏によって初めて発見されました。Metasploitは、Microsoftがセキュリティアップデートをリリースするまで、ユーザーに対しIEの使用を停止するよう勧告しています。Metasploitによると、この新たなIEのセキュリティ脆弱性は、最近発生したJavaのゼロデイ脆弱性を作成したのと同じグループによって開発されたとのことです。
Net Market Share によれば、Microsoft の Internet Explorer は世界中でアクティブな Web ブラウザの約 48.75% を占めています。
Microsoftによると、この脆弱性を利用すると、ハッカーはシステムの破損したメモリを悪用し、PC上で悪意のあるコードを実行できるようになるという。結果として、攻撃を受けた場合、ハッカーはユーザー自身と同様にPCを制御できるようになる。つまり、多くのWindowsユーザーが管理者ユーザーとしてログインしている場合、ハッカーはプログラムのインストールや削除、ファイルの表示、変更、削除、さらには完全な管理者権限を持つ新規ユーザーアカウントの作成など、ユーザーが実行できるあらゆる操作を実行できることになる。
どのように起こるか
ほとんどのホームユーザーにとって、このエクスプロイトを利用するには、攻撃を実行できる悪意のあるウェブサイトにアクセスする必要があります。また、悪意のある広告が掲載されていたり、ユーザー提供のコンテンツをホストしている可能性のある、侵害されたウェブサイトを介して攻撃を受ける可能性もあります。このエクスプロイトに感染する最も可能性の高いシナリオは、ハッカーがユーザーを悪意のあるサイトへ誘導しようとするフィッシング攻撃であると考えられます。
マイクロソフトのアドバイス
Microsoftは、新たなIEの脆弱性に対するパッチの開発に取り組んでいますが、セキュリティツールキットのダウンロードとインストール、そして「ツール」>「インターネット オプション」>「セキュリティ」でインターネットのセキュリティゾーンを「高」に設定するなど、複数の手順を踏む回避策をユーザーに推奨しています。また、Internet Explorerの設定でアクティブスクリプトを無効にするか、スクリプト実行前に確認メッセージを表示するように設定することも推奨しています。詳細は、Microsoftのセキュリティアドバイザリをご覧ください。
今すぐ切り替えを検討しましょう
この回避策を採用することで、セキュリティ上の脅威を悪用される可能性は大幅に低くなりますが、問題を完全に排除できるわけではありません。深刻なセキュリティ上の欠陥を、軽減するだけで完全に排除するには、かなりの手間がかかります。そのため、問題が解決するまでIEをアンインストールする方が賢明かもしれません。
Internet Explorer の代替として人気のあるブラウザとしては、Google Chrome ブラウザ、Mozilla Firefox、Opera などがあります。
