マイクロソフトは、9月の月例パッチとして、9件の新しいセキュリティ情報をリリースしました。そのうち4件は総合評価が「緊急」です。しかし、今月のビッグニュースはStuxnetワームです。マイクロソフトは、このワームによって悪用されるゼロデイ脆弱性が新たに4件あることを明らかにしました。そのうち2件は未修正のままです。
Stuxnetワームは今年初め、SCADAネットワークに対する高度な攻撃に利用されていることが判明し、大きな話題となりました。マイクロソフトは、アイコンを表示するだけでマルウェアが実行されるWindowsショートカットの脆弱性を修正するアウトオブバンドアップデート(MS10-046)をリリースしましたが、このワームにはさらに別の仕掛けが隠されていたようです。
カスペルスキーのブログ投稿では、Stuxnetに関する調査結果が次のように詳述されています。「これまで、Stuxnetがリムーバブルストレージメディアやネットワーク経由で拡散するために悪用するLNK/PIFの脆弱性に注目が集まっていました。しかし、Stuxnetの驚くべき点はそれだけではありませんでした。このワームはLNKの脆弱性を利用するだけではありません。ローカルネットワーク上のコンピュータに感染すると、さらに2つの拡散ルーチンを使って他のコンピュータへの侵入を試みます。」
マイクロソフトはまた、Stuxnetが利用する権限昇格(EoP)の脆弱性に焦点を当てた2つのセキュリティアドバイザリを公開しました。これらの脆弱性は未だ修正されていません。「これらはローカルEoPの問題であり、攻撃者(今回の場合はStuxnet)が既にシステム上でコードを実行する権限を持っているか、あるいは何らかの方法でシステムに侵入していることを意味します。現在、今後のセキュリティ情報で両方の問題に対処するよう取り組んでいます。」
カスペルスキーのブログは、Stuxnetの独特の狡猾さを強調し、「Stuxnetはこれまで確認されていなかった4つの脆弱性を利用しているという事実が、このワームをマルウェアの中でも際立たせています。これほど多くの『サプライズ』を内包する脅威に遭遇したのは初めてです」と述べています。
シマンテック・セキュリティ・レスポンスのセキュリティ・インテリジェンス・マネージャー、ジョシュア・タルボット氏も、MS10-061アップデートの緊急性に同意しています。「最も危険な脆弱性は、プリントスプーラーサービスのなりすまし問題です。シマンテックは、この脆弱性を、産業用制御システムを標的とする悪名高いStuxnetの脅威に組み込まれた攻撃ベクトルの一つとして特定しました。これは、この脆弱性が既に実環境で悪用されていることを示す証拠です。」
Stuxnet関連のニュースに加え、今月の月例セキュリティ情報で明らかになったもう一つの深刻な懸念事項は、MS10-062関連です。McAfee Labsのセキュリティ研究・コミュニケーション担当ディレクター、デイブ・マーカス氏は次のように述べています。「メディアファイルや動画ファイルの共有が一般的になっているため、MS10-062は特に注目に値します。このメディアコード実行は、音楽ファイルを巧妙に細工することで脆弱性を悪用するからです。サイバー犯罪者は音楽や映画関連のサイトに悪意のあるコンテンツを隠すケースが増えており、偽のファイルを作成してこの種の脆弱性を悪用することが非常に容易になっています。」
マーカス氏はさらに、「『偶数月』と『奇数月』のパッチにおける修正の数については多くの議論がありますが、サイバー犯罪者は月を気にしません。これらの脆弱性は、悪意のあるリンクや感染したウェブサイトを利用することで、仕事用のメールをチェックするといった些細な行為を、サイバー犯罪者がコンピュータを感染させたり機密情報を盗んだりするための入り口に変えてしまう可能性があります」とコメントしました。
注目すべきは、Windows 7 および Windows Server 2008 プラットフォーム向けのセキュリティ情報はいずれも「緊急」と評価されていないことです。これは、現行のオペレーティングシステムにおけるセキュリティ制御の改善が、より優れた保護を提供することに成功していることを改めて示しています。また、IT 管理者は、Windows XP SP2 および Windows 2000 のサポートが終了していることにも留意する必要があります。つまり、Windows XP SP3 より前のシステムは脆弱性が存在する可能性がありますが、Microsoft からパッチが提供されないということです。
