Internet Explorer のセキュリティ上の欠陥により、一部のユーザーの Gmail アカウントに、国家による攻撃の標的となっている可能性があるというメッセージが表示されるようになりました。
IEの脆弱性は、マイクロソフトが毎月ソフトウェアプログラムの修正を公開するために指定している日である「パッチチューズデー」に明らかになった。
修正パッケージには IE の脆弱性に対処するパッチが含まれていますが、警告メッセージを引き起こす欠陥はパッケージ内で解決されていません。
マイクロソフトはアドバイザリで、「この脆弱性により、ユーザーがInternet Explorerを使用して特別に細工されたWebページを閲覧した場合、リモートでコードが実行される可能性がある」と説明した。
ハッカーがこの脆弱性を悪用するには、IEユーザーが感染したウェブページにアクセスする必要があります。サイバー犯罪者は通常、感染したページへのリンクを含むフィッシングメールやインスタントメッセージを用いて、ユーザーをそのようなページに誘導します。
マイクロソフトは脆弱性を修正するまで、Technet Web サイトからダウンロードできる一時的な解決策を提供している。
サイバーセキュリティソフトウェアメーカーのトレンドマイクロによると、この脆弱性を受けてGoogleは一部のGmailユーザーに警告を発した。「Googleは、『警告:国家の支援を受けた攻撃者があなたのアカウントまたはコンピュータに侵入しようとしている可能性がある』という警告を表示することで、この脆弱性を悪用しようとする試みを警告しています」と、同社はPCWorldへのメールで述べている。
「報告によると、この脆弱性がGmailアカウントの侵害に利用されたことが示されている」と付け加えた。
多くのGmailユーザーがTwitterで国家による警告を受け取ったと報告していますが、これらのツイートはMicrosoftのアドバイザリが発表される数日前に遡ります。そのため、これらのツイートが脆弱性によるものなのか、それともGmailユーザーに対するその他の攻撃によるものなのかは不明です。
Googleは今月初めに国家による警告を追加しました。この警告はGmailアカウントが侵害されたことを意味するものではなく、Googleがアカウントが攻撃を受けていることを検知したというだけです。Googleは、自社のGmailアカウントが攻撃を受けていることをどのようにして把握したかについては、詳細を明らかにしていません。
ドライブバイ攻撃を許すIEの脆弱性は、Microsoft XML Core Servicesに存在します。Microsoft XML Core Servicesは、W3C準拠のXML APIセットを提供しており、ユーザーはJScript、VBScript、Microsoft開発ツールを使用してXML 1.0標準アプリケーションを開発できます。トレンドマイクロはブログでこのように説明しています。
この脆弱性を利用することで、攻撃者は影響を受けるMSXML APIを呼び出す悪意のあるウェブページをホストするウェブサイトを細工し、そのページが初期化されていないメモリ内のCOMオブジェクトにアクセスできるようになると、同サイトは述べている。この脆弱性は、ユーザーが細工されたページをIEで開いた際に悪用される。
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
