米Microsoftからいまだにパッチが出されぬまま放置されているInternet Explorerの脆弱性が、攻撃者の手で盛んに悪用されていると、複数のセキュリティ専門家が警告を発している。
この「オブジェクトタイプ」の脆弱性の存在をMicrosoftが初めて公式に認めたのは、8月20日のことだった。この脆弱性により、攻撃者が悪意のあるコードをウェブページに組み込んで、そのページにアクセスしたユーザーのシステムをコントロールできるようになってしまう。そうしたコードを含むウェブページにアクセスすると、たとえきちんとパッチをあてたInternet Explorerを使っていても、組み込まれた悪意あるコードが実行されてしまうと、複数の専門家が説明している。Microsoftでは、以前にリリースしたパッチには効き目がないことを認めながらも、これに対応する有効なパッチはまだリリースしていない。
米国の情報セキュリティ会社、米iDefenseでは、週末に声明を発表し、この脆弱性が悪意のある攻撃者によって盛んに悪用されていると警告している。
「パッチをすでに当てているかどうかに関係なく、攻撃を受けやすいバージョンのInternet Explorerを使って、悪意のあるウェブサイトにアクセスすると、悪意のあるコードが攻撃者の意のままに実行されてしまう」と、iDefenseは声明の中で述べている。
これに関連するMicrosoftのセキュリティ情報は、8月20日に発表され、9月8日に最終更新されている。
同社のセキュリティ情報は、次のように述べている。「このセキュリティ情報のリリース後、マイクロソフトは情報発表と同時にリリースした修正プログラムが 、『オブジェクト タグの脆弱性』を適切に修正しないという報告を受け取った。 我々は、これらの報告を調査しており、その問題を修正するパッチのアップデート版とともに、このセキュリティ情報を再リリースする予定である」。
メールフィルタリングソフトを提供するClearswiftの担当役員、Chy Chuawiwatは、この脆弱性は深刻だとZDNet Australiaに語った。「この脆弱性は、確実に存在しており、いまだに簡単に悪用できる。どんなものでも実行でき、またユーザーはそのことに気づきもしないだろう」(Chuawiwat)
Microsoftがこの脆弱性を修正するパッチを発表するまで、ユーザーはActiveXコントロールとプラグインを無効にすべきだ、と同氏は示唆している。「大部分の企業ユーザーには、ActiveXは必要がないので、これを無効にすべきだ」と、同氏は述べた。
ユーザーは、[ツール]、[インターネットオプション]、[セキュリティ]と順番に選択していき、「インターネットゾーン」の設定を変更することで、Internet ExplorerのActiveXコントロールを無効にできる。皮肉にも、修正用パッチがが入手可能になったとき、MicrosoftのWindowsUpdateウェブサイトを通じてシステムにパッチを当てるには、このActiveXコントロールとプラグインをインターネットゾーンで動作できるようにしなければならない。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」