Internet Explorerをお使いですか?もしお使いなら、今週初めに公開されたパッチチューズデーのアップデートを既に適用されていることでしょう。しかし、たとえ適用されていたとしても、お使いのブラウザは深刻な問題に対して脆弱な状態にある可能性があります。
ウェブサイト訪問者が人間によるものと自動ボットによるものを区別できるよう支援するSpider.ioは、Microsoftの現在の主力ブラウザであるInternet Explorer( バージョン6から10)に影響を与える脆弱性を発見したと主張している。この脆弱性により、IEが最小化されている場合でも、マウスカーソルの位置が画面上のどこにあっても追跡可能になるという。
Spider.ioは2012年10月1日にMicrosoftにこの脆弱性を開示しましたが、Internet Explorerの最新のセキュリティ更新プログラムでは修正されていません。Spider.ioは、この脆弱性が積極的に悪用されていると主張し、Microsoft Security Research Center(MSRC)はこの脆弱性を認識しているものの、すぐに修正する予定はないと主張しています。
マイクロソフトに、この脆弱性に関する見解を尋ねたところ、広報担当者から次のような公式回答が寄せられました。「現在この問題を調査中ですが、現時点では、実際に悪用された事例や、悪影響を受けたお客様に関する報告はありません。新たな情報が入り次第、提供し、お客様を保護するために適切な措置を講じます。」
VMwareの研究開発マネージャーであるジェイソン・ミラー氏は、この問題が「バグ」なのか「仕様」なのか疑問を呈しています。「これは脆弱性なのか、それともブラウザの使用状況を把握するために導入された仕様なのかという疑問も生じます。いずれにせよ、研究者たちはこの「問題」が悪用される可能性があることを証明しました。」
QualysのCTO、ヴォルフガング・カンデック氏に話を伺いました。彼は、このような脆弱性がオンラインバンキングに及ぼす影響について懸念を表明しました。多くの銀行は、従来のキーロガー攻撃を回避する手段として、口座認証情報の入力に画面上の仮想キーボードを導入しています。
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏も同意見です。「このエクスプロイトは、その緩和策を完全に無効化します。仮想キーボードにキーロガーを仕掛けるのと同じ効果を持つのです。攻撃者はこのエクスプロイトを使って、銀行の認証情報に関連するクリック情報を盗み取ることができる可能性があり、これはオンラインバンキングを利用する6,300万人のアメリカ人にとって良いニュースではありません。」
CORE Securityのシニアプロダクトマネージャー、アレックス・ホラン氏は、いわゆる「安全」なウェブサイトが必ずしも安全ではない可能性があると付け加えています。「YouTubeやニューヨーク・タイムズにアクセスしたからといって、そのサイトのコンテンツがすべてそれらのサイトによって所有または管理されているわけではないという点も強調しています。信頼できる主流のサイトに悪意のある広告を掲載することは、攻撃対象を大量のユーザーにさらす絶好の機会となります。」
Horan 氏は、Microsoft がこの問題にパッチを当てるまで、IE の使用を中止することを提案しています。
ストームズ氏は、「この脆弱性が確認されれば、アウトオブバンドパッチが必要になる可能性があり、これは誰もがこのホリデーシーズンに避けたいことです」と述べています。
