Microsoftは、Internet Explorer(IE)とWindows XP Service Pack 2(SP2)が抱える問題の修正に向け「適切に対処」すると述べた。この問題を悪用したウェブサイトは、ダウンロードしようとしているコンテンツに有害なプログラムが含まれる可能性を警告する機能を迂回してしまう。
K-otikというフランスのウェブサイトが現地時間22日、この脆弱性を悪用するコードを公開した。Microsoft関係者は23日、「悪質なコードを実行するには、まずユーザーとのやりとりや、インターフェースの操作が必要になる」ため、この欠陥が悪用される危険性は低い、と語った。
しかし同社は、Windows XPにSP2を適用した場合もIEのセキュリティ警告を迂回できる点は認めている。
「顧客には、インターネットからダウンロードした実行ファイルが悪質なものである可能性があることを適切に通知しなくてはならない。Microsoftではそのため、IEのダウンロード警告を迂回する手法について調査を進めており、問題になっている状況にも対応できるよう適切な措置を講じる」(Microsoft関係者)
この関係者によると、脆弱性を悪用したこのファイルは、スタートアップフォルダに保存されると、コンピュータ再起動時に実行されるという。
「このファイルを実行するには、ユーザーがフォルダに移動して意識的に起動するか、スタートアップフォルダに保存されている場合はコンピュータにログインし直す必要がある」(Microsoft関係者)
しかしこの関係者は、今回の問題の本質は、セキュリティの脆弱性ではなく、ソーシャルエンジニアリングの手口が巧妙に利用されている点にあると述べる。
「これは、セキュリティの脆弱性ではなく、ソーシャルエンジニアリングの手口を利用したものである点に注意して欲しい。攻撃者はユーザーにIEのダウンロード警告を見せないようにすることで、ハードディスクに実行ファイルを保存させようとしている」(Microsoft関係者)
それでも、一部のセキュリティ専門家はMicrosoftのこのような主張に反論する。
ウイルス対策企業Sophos Australiaのシニア技術コンサルタントSean Richmondは、この脆弱性を悪用したコードは、ユーザーとのやりとりがあって初めて機能するものであることを認めている。しかし、IEとSP2のセキュリティ機能を迂回するものであることには違いがないと述べる。
「このコードは確かに、セキュリティ機能を迂回するものだ。IEのダイアログが表示されないので、ユーザーは悪質なファイルを自分のコンピュータに保存してしまう」とRichmondは述べ、そのファイルがスタートアップフォルダに保存されれば事態はより深刻になると付け加えた。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」