PR

 米マイクロソフトや米国のセキュリティ組織・企業各社は2008年12月10日(現地時間)、Internet Explorer 7(IE7)に新たな脆弱(ぜいじゃく)性が見つかったことを明らかにした。細工が施されたWebページにアクセスするだけで、ウイルス感染などの被害に遭う。実際、今回の脆弱性を悪用した攻撃(いわゆる「ゼロデイ攻撃」)が確認されている。セキュリティ更新プログラム(修正パッチ)は未公開。

 セキュリティ組織・企業の情報によれば、今回の脆弱性は、IE7がXMLタグを処理する部分に存在するという。特定のXMLタグを適切に処理できないため、そういったタグを含むHTMLファイルを読み込むだけで、攻撃者の意図したプログラムを勝手に実行される恐れがある。

 つまり、細工が施されたWebページにアクセスするだけでウイルスに感染する恐れなどがある。実際、そのようなWebページが存在し、被害が確認されているという。米マカフィーや米シマンテックの情報によれば、中国およびアジアのほかの地域で被害が報告されているという。

 現時点で感染が確認されているウイルスは、主に「ダウンローダー(別のウイルスをダウンロードするウイルス)」。あるWebサイトにアクセスするだけで、ダウンローダーに感染。そのウイルスは、別のダウンローダーや、パソコンの情報を盗むウイルスをダウンロードして実行するという。

 マイクロソフトでは、現時点では、攻撃は極めて限定的であり、広範囲には出回っていないとしている。他のセキュリティ企業・組織も同意見だ。だが、脆弱性を悪用するプログラム(コード)は既に公開されているので、すぐに広まるだろうとみているところが多い。

 影響を受けるのは、IE7を搭載したすべてのWindows。悪用コードの実行については、「Windows XPでは確認しているが、他のWindowsでは未確認」としているセキュリティ企業が多いが、マイクロソフトではサポート対象のすべてのWindowsが影響を受けるとしている(Windows 2000はIE7をサポートしていないので影響を受けない)。

 今回の脆弱性を悪用するコードが確認されたのは2008年12月8日(日本時間では12月9日)。修正パッチの月例公開日の前日に当たる。このため、2008年12月10日の公開日には、今回の脆弱性を修正するパッチは公開されていない。今までに公開されたすべてのパッチおよびサービスパックを適用していても、被害に遭う危険性がある。

 修正パッチが未公開の現状では、根本的な解決策はない。影響を抑える方法としては、IE7でアクティブスクリプト(JavaScript)を無効にすること。今回の脆弱性はスクリプトと無関係だが、現在確認されている攻撃では、悪用コードを送り込む手段としてスクリプトが用いられているためだ。

 スクリプトを無効にするには、例えば「ツール」メニューの「インターネットオプション」の「セキュリティ」タブで、「このゾーンのセキュリティレベル」を「高」にする。ただしこの設定にすると、問題のないWebサイトも、適切に表示できなくなる場合が多いと考えられる。加えて、スクリプトを使わない攻撃手法もあるので万全ではない。

 信頼できないWebサイトにアクセスしないことも有効な対策の一つだが、信頼できるサイトに悪用コードが埋め込まれたり、悪用コードを含むコンテンツ(広告や投稿など)が表示されたりする場合もあるので要注意だ。

 ウイルス対策ソフト(セキュリティ対策ソフト)の一部は、悪用コードや悪用コードによって送り込まれるウイルスに対応済み。このため、対策ソフトの利用も回避策として効果があるだろう。