Internet Explorer を利用して Windows の脆弱性を悪用する新たな攻撃が報告されています。この脆弱性は 1 月に初めて公開されましたが、まだ修正プログラムが公開されていません。近日中に修正プログラムが公開される予定はありませんが、Microsoft からこの問題を解決し、PC を保護するためのツールが提供されています。
実際の脆弱性はWindowsのMHTMLプロトコルハンドラーに存在し、Internet Explorer自体には存在せず、Windowsオペレーティングシステムのすべてのバージョンに影響を及ぼします。しかし、この脆弱性を悪用する攻撃ベクトルとして知られているのはInternet Explorerのみです。
この脆弱性を悪用した攻撃はクロスサイトスクリプティング攻撃に類似しており、攻撃者はユーザー情報を傍受・収集したり、ブラウザに表示されるコンテンツを偽装したり、その他の方法でユーザーのブラウジングエクスペリエンスを妨害したりすることが可能になります。また、IEセッションのコンテキスト内で悪意のあるスクリプトを実行できる可能性もあります。
この脆弱性が1月に初めて公表された当時、脅威は小さいと考えられていました。nCircleのセキュリティオペレーションディレクターであるアンドリュー・ストームズ氏は当時、「一見すると、本日のアドバイザリは、サポートされているすべてのWindowsプラットフォームに影響を与えるため、厳しいものに見えるかもしれません。しかし、概念実証コードが公開されているとはいえ、この複雑なクロスサイトスクリプティングのようなバグを利用した攻撃を実行するのは容易ではないでしょう」と述べています。
簡単ではなかったかもしれませんが、不可能でもありませんでした。それから6週間が経ち、これらの攻撃は今や実際に確認されています。ストームズ氏は本日、「この展開に驚くべきではありません。この脆弱性がより広く悪用されるようになるのは時間の問題でした。マイクロソフトは、実際に何が起こっているかについてより多くの情報を得るにつれて、このアドバイザリを再度更新する可能性が高いでしょう」とコメントし、「幸いなことに、マイクロソフトは緩和策を提供しています。Fixitツールは簡単に適用でき、リスクを確実に軽減します」と付け加えました。
マイクロソフトの信頼できるコンピューティング部門の対応コミュニケーション担当グループマネージャー、ジェリー・ブライアント氏も、同様の見解を示しています。「マイクロソフトが推奨する回避策を適用するためにFixitをインストールしたユーザーは、リスクにさらされることはありません。マイクロソフトは調査を終了次第、お客様を保護するために適切な措置を講じます。これには、月例リリースプロセスを通じてセキュリティ更新プログラムを提供するか、お客様が自らセキュリティ対策を講じられるよう、アウトオブバンドアップデートを提供することが含まれます。」
しかし、注目すべきは、これまでに確認された攻撃の件数はまだ比較的少ないということです。Googleオンラインセキュリティブログの投稿によると、攻撃はより標的を絞ったものになり、政治的な動機によるものもあるようです。
ただし、サポートされているすべてのバージョンのWindowsが影響を受け、すべてのバージョンのInternet Explorerが攻撃ベクトルとして利用される可能性があることにご注意ください。FirefoxやChromeなどの他のブラウザに切り替えることで、MHTMLの脆弱性を悪用されるのを防ぐことができます。Internet Explorerを引き続きご利用になる場合は、PCを保護するためにMicrosoftのFixItツールを実行することをお勧めします。
