中国のセキュリティ研究者が、パッチ未適用の脆弱性を悪用して PC をハッキングするために必要なコードを誤って公開し、数百万人のコンピューター ユーザーが危険にさらされる可能性があるが、一部のハッカーはすでにこの欠陥を悪用する方法を知っていたようだ。
ベリサインのコンピューターセキュリティ部門であるiDefenseが中国チームのブログ記事を引用したところによると、このコードは一時、闇市場で1万5000ドルもの高値で取引されていたという。
https://www.pcworld.com/article/id,127880/article.html?tk=rel_news は、ウェブサイトにアクセスするだけでコンピュータが悪意のあるソフトウェアに感染する可能性があることを意味します。これは、コンピュータセキュリティにおける最も危険なシナリオの一つです。影響を受けるのは、Windows XP(Service Packのバージョンに関係なく)、Windows Server 2003(Service Pack 1または2)、Windows Vista(Service Pack 1を適用したWindows Vista)、そしてWindows Server 2008でIE7を実行しているコンピュータです。
マイクロソフトはこの問題を認識しているが、パッチをいつリリースするかは明らかにしていない。
この脆弱性は、中国のセキュリティチーム「knownsec」が今週初めに発表したものだ。knownsecは火曜日、この問題がすでに修正されていると思い込み、誤ってエクスプロイトコードをリリースしたとiDefenseは発表した。
「これは我々のミスだ」とKnownsecは中国語の調査ノートで述べた。
このミスは、エクスプロイトコードがインターネット上でより自由に流通しているため、より多くのハッカーがユーザーのPCに侵入するためのウェブサイトを構築しようとする可能性を示唆しています。しかし、他の情報によると、ハッカーはリリース前から既にその仕組みを知っていたようです。knownsecによると、今年初めにInternet Explorerのバグに関する噂が浮上したとiDefenseは記しています。
この脆弱性に関する情報は、11月に闇市場で1万5000ドルで売買されたとされている。iDefenseはknownsecの情報として、今月初めにこのエクスプロイトが中古または中古で650ドルで販売されたと報じている。
最終的に、誰かがトロイの木馬プログラムを開発しました。これは、一見無害に見えますが、実際には悪意のあるプログラムで、ハッカーの人気ターゲットである中国語の PC ゲームに関連する情報を盗むように設計されています。
現在、このエクスプロイトを組み込んだ他のウェブサイトが構築されています。ハッカーは通常、スパムや迷惑インスタントメッセージを通じて、人々をこれらのサイトへ誘導しようとします。Shadowserver Foundationは、このエクスプロイトとそれに続くトロイの木馬をホストしているドメインのリストを公開していますが、ユーザーはこれらのウェブサイトにアクセスしないよう強く推奨されています。そのほとんどは、中国のトップレベルドメインである「.cn」ドメインです。
研究者たちはまた、ハッカーがいわゆる SQL インジェクション攻撃によって侵害された Web サイトに IE7 の脆弱性を組み込んでいるのを確認している。
ウェブセンスのヨーロッパ地域脅威調査マネージャー、カール・レナード氏によると、これらのウェブサイトはセキュリティ上の問題からハッキングされ、iframeと呼ばれるウィンドウに他の有害なウェブサイトのコンテンツを表示するように仕組まれているという。iframeはJavaScriptを使用して、ユーザーをマルウェアに感染したサイトに自動的にリダイレクトし、PCに感染させようとする。
レナード氏によると、今年初めには数十万ものウェブサイトが影響を受けており、そのうち膨大な数のサイトは未だに修正されていないという。これらのサイトは、既に修正されている脆弱性を突くエクスプロイトを提供している。
しかし、IE7の脆弱性はパッチが存在しないことから特に危険です。つまり、例えば地方自治体が運営するウェブサイトにアクセスしただけで感染してしまう可能性があるのです。
これらの危険性は、Microsoftがパッチの作成を早めるきっかけとなる可能性があります。しかし、パッチは他のアプリケーションに悪影響を及ぼさないようにするために、多大なエンジニアリングの労力を要します。その間に、ハッカーは可能な限り多くのPCに感染させるべく、活動範囲を拡大することができます。
「主要ブラウザが脆弱であるため、マイクロソフトは次回のパッチ火曜日までに何らかの対策を講じる必要があるだろう」とレナード氏は述べた。
iDefenseはメモの中で、この脆弱性は「非常に厄介」であり、コンピュータセキュリティ専門家は厳しい状況に直面する可能性があると述べた。マイクロソフトは火曜日に過去5年間で最大規模のパッチ群をリリースした。通常のパッチリリースは1月13日まで予定されていないが、緊急リリースを行う可能性もある。
「この脆弱性は今後1か月ほど修正されない可能性が高いため、攻撃者が悪用するのに十分な時間があります」と、マカフィー傘下のAvert Labsでドイツに拠点を置くセキュリティストラテジスト、トラルブ・ディロ氏は述べた。「これは非常に深刻に受け止めるべきです。」
iDefenseは、ユーザーが自らを守るための選択肢は多くはないが、簡単な方法があると述べた。コンピュータセキュリティのトレーニングコースを運営するSANS Instituteは、Internet Explorer以外のブラウザの使用を推奨している。
マイクロソフトはアドバイザリの中で、IE7を「保護」モードに設定することを推奨しています。このモードでは、システムファイルや設定の変更が試みられた場合に警告メッセージが表示されます。ただし、この保護モードはWindows Vistaのユーザーのみが利用できます。
もう一つの緩和要因は、Windows Server 2003およびWindows Server 2008で動作するIE7のデフォルトのセキュリティレベル設定です。Microsoftによると、この設定はファイルのダウンロードをブロックする「高」に設定されています。通常、管理者はサーバーからWebを閲覧すべきではありません。
トラルブ氏は、問題のあるウェブサイトをホストしているインターネット サービス プロバイダーにそれらのサイトをオフラインにしてもらうのは、そのプロセスに時間がかかり、サービス プロバイダーの対応が遅い可能性があるため、難しいかもしれないと述べた。
IE の脆弱性により、今週初めに Microsoft の WordPad アプリケーションにおける新たなゼロデイ脆弱性が公開され、Microsoft にとって厳しい月になりそうだ。
この問題は、ユーザーが電子メールに添付された悪意のある文書を開かせるように誘導されるだけなので、深刻度はやや低くなります。また、Windows XP Service Pack 3およびVistaを実行しているコンピューターには影響しません。
ただし、Microsoft によれば、Windows 2000 Service Pack 4、Windows XP Service Pack 2、Windows Server 2003 Service Pack 1、および Windows Server 2003 Service Pack 2 には影響があるとのこと。
