マイクロソフト社が3週間足らず前に老朽化したオペレーティングシステムのサポートを終了したが、ハッカーらはWindows XPユーザーを深刻な危険にさらす可能性のある最初のバグを発見した。
マイクロソフトは土曜日、Internet Explorer(IE)バージョン6から11が、悪意のあるウェブサイトからのいわゆるドライブバイ攻撃の危険にさらされていると発表しました。Windows XPでは、IE6、7、8が動作可能です。
CVE-2014-1776と呼ばれるこの新たなリモートコード実行脆弱性は、ハッカーに現在のユーザーと同じユーザー権限を与える可能性があります。つまり、管理者権限で実行されているPCに感染した攻撃者は、システムへのマルウェアの追加、新規ユーザーアカウントの作成、標的のPCに保存されているデータの変更や削除など、様々な攻撃を仕掛けられる可能性があります。ほとんどのWindowsユーザーは、管理者アカウントでPCを使用しています。
これらの攻撃は理論上のものではありません。セキュリティ企業FireEyeは、これらの攻撃が実際に使用されていることを発見しました。しかし、これらの攻撃が機能するには、ユーザーがコードをインストールしようとする悪意のあるウェブサイトにアクセスする必要があります。Microsoftは、「ユーザー提供のコンテンツや広告を受け入れたりホストしたりするウェブサイト」からも攻撃を受ける可能性があり、攻撃者はそこに悪意のあるコードを挿入する可能性があります。
マイクロソフトは、今後数日中に緊急パッチをリリースするか、あるいは IE のサポート対象バージョンを修復するために 5 月 13 日のパッチ火曜日まで待つかをまだ決めていない。
寒い中でのXP
マイクロソフトがパッチをリリースするたびに、Windows PCユーザーの相当数がセキュリティアップデートを受けられなくなります。マイクロソフトは4月8日にMicrosoft XPのサポートを正式に終了しており、この老朽化したOSは今後セキュリティアップデートを受けられなくなります。そのため、マイクロソフトが方針を転換しない限り、これはサポート終了後に発生した脆弱性によってXPユーザーが自力で対処せざるを得なくなる最初の事例となるでしょう。今後、さらに多くの脆弱性が続くことは間違いありません。
最新の集計によると、Windows XPは世界中のオンラインPCの約28%を占めています。Net MarketShareの最新データによると、これはWindows 8、8.1、Vista、OS X 10.9、Linuxユーザーの合計を上回る数です。
幸いなことに、Windows XPユーザーはInternet Explorer以外のWebブラウザを使用するだけで、この脆弱性を簡単に軽減できます。XPで長年IEをご利用いただいている方は、今すぐそして将来に向けて、Google ChromeまたはMozilla Firefoxへの切り替えが最善の策です。
GoogleはGoogle ChromeのXP版を2015年4月までサポートすることを約束していますが、MozillaはFirefoxのXP向けサポート終了日をまだ発表していません。XP上でこれらのブラウザに脆弱性が発見された場合、IEとは異なり、修正プログラムが提供されます。
どうしてもIEを使用しなければならない場合、MicrosoftはEnhanced Mitigation Experience Toolkit(EMET)4.1のダウンロードとインストールを推奨しています。このユーティリティはマルウェア対策に役立ち、Service Pack 3がインストールされたWindows XP PCで利用可能です。
また、 「インターネット オプション」>「セキュリティ」に移動してスライダーを「高」に設定することで、IE をより安全なモードで実行することもできます。
マイクロソフトが土曜日に発表した警告は、Windows XPユーザーを恒久的な危険にさらす深刻な脆弱性が既に存在する最初の例となる可能性がある。しかし、セキュリティ専門家によると、これが最後ではないだろう。3月には、セキュリティ企業アバストがWindows XPへの攻撃頻度がWindows 7の6倍に達していると発表しており、これはOSのサポート終了前のことだった。
