マイクロソフトは本日、セキュリティ情報MS10-002を木曜日に公開すると発表しました。これは、次回の定期パッチ火曜日アップデートの約3週間前となります。MS10-002の累積リスク評価は「緊急」で、Googleに対する中国からの攻撃の中核を成すゼロデイ脆弱性に対処するため、アウトオブバンドで公開されます。この脆弱性は現在、広く拡散しています。
マイクロソフトのシニア セキュリティ プログラム マネージャー、ジェリー ブライアント氏は、「本日、お客様に対し、明日 2010 年 1 月 21 日に MS10-002 をリリースすることをお知らせする Advanced Notification Service (ANS) を発行しました。この更新プログラムは、できるだけ太平洋標準時午前 10 時近くにリリースする予定です」と述べました。
ブライアントは今回のアップデートについて、「これは、2月に予定されていた通常のリリースよりも早くリリースされたInternet Explorerの標準累積アップデートであり、総合的な深刻度は「緊急」です。Googleおよび一部の企業に対する最近の攻撃に関連する脆弱性に加え、その他の複数の脆弱性にも対処しています。適用することで、お客様は広く公表されている既知の攻撃から保護されます。アップデートが利用可能になり次第、インストールすることをお勧めします。自動更新をご利用のお客様は、このアップデートがリリースされると自動的に適用されます。」と説明しました。
Internet Explorerのゼロデイ脆弱性を利用した当初の攻撃は特定の標的に対する精密な攻撃でしたが、現在この脆弱性を利用した攻撃コードが広く公開されているため、一般ユーザーを狙った模倣攻撃が実行される可能性が懸念されます。マイクロソフトは、現時点では大規模な攻撃は発生していないと警告し、これまでに成功した攻撃はInternet Explorer 6に対するもののみであると指摘しました。
Qualysの脆弱性調査ディレクター、リッチー・ライ氏も同意見です。「今回の攻撃は、ブラウザとOSの組み合わせであるIE6とWindows XPを標的としていました。どちらもリリースから10年近くが経過し、サポート終了も近づいています。マイクロソフトは、攻撃の緩和策と表面強化策の強化に多大な労力を費やし、Windowsオペレーティングシステムの新しいバージョン(Vista、Windows 2008、Windows 7)における悪用リスクを低減しています。」
ライ氏は、他のセキュリティ専門家が表明した意見に同意しています。つまり、Internet Explorer の脆弱性自体は目新しいものではないが、特定のターゲットや目的を意図した高度な攻撃でこの脆弱性が利用されていることは、世界中の企業が注目すべき攻撃手法の変化を示しているということです。
「先週公開されたIEのゼロデイ脆弱性は、目新しいものでも特異なものでもありません。主要ブラウザでは数ヶ月ごとに新たな脆弱性が出現します。これまで報告された脆弱性のほとんどは、バグの技術的な詳細に関するものでした。今回の場合、議論の中心は脆弱性の悪用方法にあり、バグそのものについてはあまり触れられていません」とライ氏は述べた。
ライ氏は続けて、「新しい点は、影響を受けた組織が報告を申し出ていることです。これは前向きな傾向であり、今後も続くことを期待しています。現時点では、攻撃は非常に標的を絞ったものに限定されており、このエクスプロイトが広く使用されている事例は確認されていません」と述べました。
「脆弱性の詳細が公開されたため、今後数日で状況は変化すると見ています」とライ氏は警告した。「一般的に、ユーザーは最新のOSとブラウザの組み合わせにアップグレードする必要があります。少なくともブラウザはIE8か、その他の最新のブラウザにアップデートする必要があります。」
マイクロソフトは、1月21日(木)午後1時(太平洋時間)より、セキュリティ情報MS10-002に関する情報を提供し、脅威と修正プログラムに関する質問に回答する公開ウェブキャストを開催します。ウェブキャストへの参加登録は、こちらをクリックしてください。
Tony Bradley は@Tony_BradleyPCWとしてツイートしており、彼のFacebook ページで連絡を取ることもできます。
