IEに「極めて重大」な欠陥--勝手にアドウェアが組み込まれる危険あり

　あるアドウェア業者が、これまで明らかになっていなかったMicrosoftのInternet Explorer（IE）ブラウザにある2つのセキュリティホールを悪用し、ポップアップ広告を表示させるツールバーを被害者のコンピュータにインストールしていたと、研究者らが今週明らかにした。

　欠陥の1つは、攻撃者が被害者のマシン上でプログラムを起動できるようにしてしまうというもので、もう1つは悪質なコードを「クロスゾーン」させる--つまり、通常より高位のユーザー権限で実行できるようにしてしまう。これらのセキュリティホールに関する2件の分析によると、2つの欠陥を組み合わせた場合、あるウェブサイトを設けて、被害者となるユーザーがそこにアクセスすると、ユーザーのコンピュータにプログラムをアップロードし、インストールしてしまうといったことが可能になるという。

　Microsoftのセキュリティプログラムマネジャー、Stephen Toulouseは、ある団体もしくは企業がこれらの脆弱性を悪用して、アドウェアと呼ばれる広告宣伝用のソフトウェアをユーザーのコンピュータに密かに潜り込ませたのであれば、これは刑事罰の根拠になる可能性があると述べている。

　「セキュリティホールを悪用してプログラムを実行することは、どのような形であれ犯罪になると考えている。このような行為を行う個人もしくは企業を起訴すべく、積極的に捜査当局に協力していく」（Toulouse）

　Microsoftがこの問題を知ったのは、米国時間7日に、あるセキュリティ研究者がこの問題の分析結果をセキュリティ関連メーリングリストの「Full Disclosure」で公表したときだった。Toulouseは、FBIには既に通報しており、立件の「初期段階」にあると話している。同社では、通常の月次アップデートまで待たず、パッチを早急に作成し、リリースすることを検討している。

　この欠陥は、「I-Lookup検索バー」というIEのツールバーに追加されるアドウェアツールバーのインストールに利用されているようだ。アンチウイルスベンダーのSymantecのウェブサイトにあるアドウェア勧告によると、このアドウェアはInternet Explorerのホームページを変更し、6カ所ある広告サイトのいずれかに接続して、アダルトサイト関連の広告を中心にポップアップを頻繁に表示するという。

　米国時間8日には、セキュリティ情報グループのSecuniaがこの問題に関する勧告をリリースし、これら2つの欠陥を「極めて重大」に分類している。

　「Secuniaでは、Internet Explorer 6.0を搭載した、パッチも完全に適用されているシステムにこの脆弱性が存在することを確認している。ただし、SP2（Microsoftが開発中のメジャーセキュリティアップデート）の暫定版を適用すれば、アクセス拒否によってセキュリティホールを回避できることが報告されている」（同グループ）

　これらの欠陥が悪用されると、ウェブサイトを用意した攻撃者に、そのサイトへのリンクを埋め込んだ電子メールメッセージもしくはインスタントメッセージを送信され、そして IEユーザーがこのリンクをクリックした途端に、被害者（となるそのユーザー）のコンピュータ上でプログラムが起動されてしまうおそれがある。

　Jelmer Kuperusという氏名を名乗るある研究者が記した元々の分析によると、たとえ1つでもこれらの欠陥を悪用するプログラムを書くには、Windows OSについて相当詳しい知識が要求されるという。

　オランダの電子メールアカウントを使っているKuperusは、このアドウェアをインストールするトロイの木馬を氏名不詳の個人から受け取ったと7日に書いている。

　「疑わしく思いながら、用心せずにリンクをクリックしたところ、私のPCにアドウェアが自動的にインストールされる様子を目にすることになってしまった」と同氏は記している。