マイクロソフトは、中国でGoogleなどの標的を狙った攻撃の中心となったInternet Explorerの脆弱性に対処するため、定例パッチ(通常のパッチ火曜日のリリースサイクルを外れたパッチ)をリリースすると発表した。発表では詳細は明らかにされなかったが、マイクロソフトは水曜日に詳細情報を発表すると約束した。
マイクロソフト セキュリティ レスポンス センター (MSRC) のゼネラルマネージャー、ジョージ・スタサコプロス氏は、「Internet Explorer 6 に対する限定的かつ標的型の攻撃が引き続き確認されており、お客様には Internet Explorer 8 へのアップグレードを推奨します。また、セキュリティ更新プログラムが広く配布されるまで、セキュリティ アドバイザリ 979352 で提供されている回避策と緩和策の導入を検討することをお勧めします」と述べています。
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は、パッチ火曜日のリリースサイクルを中断するという異例の措置についてコメントした。「Microsoft IEのバグに対する注目が尽きないことを考えると、Microsoftが2月の定期リリースと同時期かそれ以前にパッチをリリースするのは避けられないことでした。」
中国での標的型攻撃、そしてInternet Explorerのゼロデイ脆弱性が主要な攻撃経路だったという暴露は、メディアの注目を集めていることは事実です。ドイツとフランスも、少なくともこの脆弱性に対するパッチが公開されるまでは、すべてのユーザーにIEの使用をやめるよう勧告しました。
Internet Explorerの脆弱性を突くエクスプロイトコードが今や公開されているという事実は、事態をさらに悪化させています。ストームズ氏は、中国での攻撃が国際的な注目を集めていなかったため、この脆弱性はおそらく外部から更新されることはなかっただろうと指摘しています。「もしこの公開された脆弱性が先週発表されたGoogleの情報漏洩と関連していなかったら、このバグは懸念材料となっていたでしょうが、多くの人々がこれほど深刻に認識することはなかったでしょう。」
IOActive の侵入テスト担当ディレクターの Dan Kaminsky 氏は、次のように慎重な見解を示しています。「このエクスプロイトをエントリ ポイントとして利用して、ある程度の損害を引き起こしているエクスプロイトが現場に存在することはわかっていますが、この状況全体は、私たちが知っていることよりも、知らないことの方が多くを左右します。」
カミンスキー氏は、攻撃に関する情報が漏れ伝わりにくく、まばらにしか公開されていないことに言及している。Internet Explorerの脆弱性が攻撃ベクトルとして確認されているものの、他にも攻撃ベクトルが存在する可能性を示唆する兆候や示唆も見られる。Googleは標的として特定されているほか、30もの組織が標的となっているが、そのほとんどは身元が特定されていない。
マイクロソフトに責任を押し付け、インターネット エクスプローラー ウェブ ブラウザをスケープゴートにするという反射的な対応は、重要な点を外しており、これが高度で標的を絞った攻撃であっただけでなく、外国政府が攻撃を実行したと非難され、米国務省がその主張を支持しているという大きな問題を無視している。
攻撃者は、熱意とリソースを駆使すれば、ほぼあらゆるWebブラウザやオペレーティングシステムに侵入する方法を見つけることができます。ゼロデイ脆弱性を悪用してシステムに侵入し、攻撃者が情報を盗み出すような、今回のような精密なスピアフィッシング攻撃の影響は、2月9日(次回の定期パッチ火曜日)までにInternet Explorerにパッチが適用されるかどうかよりもはるかに深刻なセキュリティ問題です。
nCircleのStorms氏も同意見です。「多くの有名企業に対する攻撃は成功しましたが、依然として限定的で、標的を絞ったものです。大多数のユーザーにとって、慎重なブラウジング習慣と最新のウイルス対策を組み合わせることで、リスクを大幅に軽減できるでしょう。」
明日のInternet Explorer緊急パッチの配信時期については、詳細をお知らせいたします。マイクロソフトは引き続きこの状況を調査中です。お客様はMicrosoft Security Response Center (MSRC) ブログで最新情報をご確認ください。
Tony Bradley は@Tony_BradleyPCWとしてツイートしており、彼のFacebook ページで連絡を取ることもできます。
