今週初め、Googleをはじめとする中国企業に対する攻撃の根源としてAdobe Readerのゼロデイ脆弱性が有力視されましたが、Adobeは責任を免れるか、少なくとも責任を負っている可能性があります。Microsoftは、Googleが中国事業の閉鎖を示唆するに至った攻撃に利用された脆弱性の一つがInternet Explorerの未知の脆弱性であったと断定しました。
マイクロソフト セキュリティ レスポンス センターのディレクター、マイク・リービー氏は、電子メールで発表した声明の中で、「本日午後、マイクロソフトは、Internet Explorer のリモート コード実行(RCE)の脆弱性を軽減するためのセキュリティ アドバイザリ 979352 を発行しました。当社は、Google やその他の企業ネットワークを標的とした標的型かつ高度な攻撃において、Internet Explorer が利用されていたことを突き止めました」と述べています。
リービー氏は続けて、「マイクロソフトは引き続きGoogle、その他の業界パートナー、そして関係当局と連携し、この問題を積極的に調査しています。現時点では、マイクロソフトは広範囲にわたる顧客への影響を確認していません。IE 6を悪用した標的型かつ限定的な攻撃のみを確認しています」と述べました。
Internet Explorerのゼロデイ脆弱性の発覚と、Microsoftによるセキュリティアドバイザリの公開は、Microsoftが1月の定期パッチ火曜日のわずか2日後に行われました。偶然にも、Adobeも先週火曜日にセキュリティアップデートをリリースしており、少なくとも12月中旬から悪用されているAdobe Readerのゼロデイ脆弱性を修正しています。
Microsoft は引き続きこの問題を調査しており、パッチやアップデートはまだリリースされていませんが、Microsoft のセキュリティ アドバイザリには、その間にこの欠陥から PC を保護するために重点的に取り組めるいくつかの緩和要素が含まれています。
• Windows Vista 上の IE7 の保護モードにより、脆弱性の影響が制限されます。
• Webベースの攻撃シナリオでは、攻撃者はこの脆弱性を悪用するために使用されるWebページをホストするか、ユーザー提供のコンテンツや広告を受け入れるかホストするWebページを介して攻撃を行う可能性があります。しかし、いずれの場合も、攻撃者はユーザーにこれらのWebサイトへの訪問を強制することはできず、通常は電子メールやインスタントメッセージを介してユーザーを誘導する必要があります。
• Windows Server 2003およびWindows Server 2008上のInternet Explorerは、デフォルトで「セキュリティ強化の構成」と呼ばれる制限モードで動作します。このモードでは、インターネットゾーンのセキュリティレベルが「高」に設定されるため、Internet Explorerの信頼済みサイトゾーンに追加していないWebサイトに対する影響を軽減する要因となります。
• この脆弱性を悪用した攻撃者は、ローカルユーザーと同じユーザー権限を取得する可能性があります。システム上でユーザー権限が低いアカウントを持つユーザーは、管理者ユーザー権限で操作するユーザーよりも影響が少ない可能性があります。
• 既定では、サポートされているすべてのバージョンの Outlook、Outlook Express、および Windows メールは、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。これにより、アクティブ スクリプトおよび ActiveX コントロールが使用されないようにすることで、この脆弱性を悪用しようとする攻撃を軽減できます。ただし、ユーザーが電子メール メッセージ内のリンクをクリックした場合、Web ベースの攻撃シナリオを通じてこの脆弱性が悪用される可能性があります。
「バナー広告やその他の方法を用いて、特別に細工されたWebコンテンツを表示し、影響を受けるシステムにWebコンテンツを配信することも可能になる可能性があります。マイクロソフトの調査では、インターネットゾーンのセキュリティ設定を「高」に設定することで、このアドバイザリで対処されている脆弱性からユーザーを保護できると結論付けられました」とReavey氏は付け加えました。
次回の定期パッチ火曜日までにこの問題に対処するためのアウトオブバンドパッチが提供されるかどうかについて、Microsoftからの情報はまだありませんが、おそらく提供されるでしょう。セキュリティアドバイザリを確認し、Internet Explorerの脆弱性からPCを保護するための適切な対策を講じてください。また、Adobe Readerのゼロデイ脆弱性からシステムを保護するために、Adobeのセキュリティアップデートを適用してください。
この問題の詳細については、Microsoft Security Research Center (MSRC) のブログおよび Microsoft ブログをご覧ください。Microsoft は状況を積極的に監視しており、詳細が判明次第、最新情報と追加のガイダンスを公開する予定です。
Tony Bradley は@PCSecurityNews としてツイートしており、彼のFacebook ページで連絡を取ることもできます。
