IEの脆弱性を悪用するエクスプロイトコード--リモート攻撃のおそれ

　Internet Explorer（IE）で新たに見つかった脆弱性を悪用するエクスプロイトコードが登場した。このエクスプロイトコードが使われると、システムがリモートからの攻撃を受ける可能性があるとして、複数のセキュリティ専門家が米国時間21日に注意を呼びかけた。

　セキュリティ調査会社のSecuniaは、21日に明らかになったエクスプロイトコードについて、Windows XP Service Pack 2（SP2）上で動作するIE 5.5およびIE 6、ならびにWindows 2000 SP4で動作するIE 6の各バージョンに存在する「極めて重大な」脆弱性を狙うものだと、勧告のなかで述べている。

　このエクスプロイトコードは、PCユーザーがだまされて悪質なウェブサイトにアクセスするだけで、何の操作をしなくても、自動的に起動されるおそれがある。

　SecuniaのCTO（最高技術責任者）Thomas Kristensenは、「このエクスプロイトコードを使えば、攻撃者はどんなコードでも対象システム上で起動できてしまう。ユーザーのシステム上で危険きわまりないコードを起動しようと考える可能性もある」と説明している。

　一方、SANS Internet Storm Centerの勧告によると、この脆弱性はIEがウェブページをコンピュータに読み込むために利用するJavascriptコンポーネントのなかに存在するものだという。

　Microsoftは、この脆弱性を修正するパッチをまだ公開していない。セキュリティ企業各社は、IEユーザーに対し、Javascriptを無効にするか別のブラウザを使うことで、この問題を回避するよう勧めている。

　セキュリティ調査会社各社は、このIEの脆弱性について、6カ月前から存在が知られていたが、ただしリモートからのコード実行ではなく、DoS（サービス拒否）攻撃に使われるものとみなされていたと述べている。一般的には、データを大量に送りつけてシステムのクラッシュを狙うDOS攻撃のほうが、セキュリティリスクは低い。

　「この脆弱性自体はしばらく前から明らかになっていたが、IEをクラッシュさせる可能性のあるDoS攻撃しか問題視されていなかった。これまでは、このコードを識別してメモリのなかから見つけ出し、リモートからコードを実行させる攻撃方法がだれにもわからなかった」と、Sans Instituteの最高調査責任者Johannes Ullrichは述べている。

　このエクスプロイトコードの存在は、Computer Terrorismという組織が公表した。

　この脆弱性は当初、DoS攻撃にしか使われないと考えられていたため、Microsoftはこの問題に対応するパッチを出さなかったと、Ullrichは言う。同氏はさらに、Microsoftがこの欠陥を修正するパッチを即座に出すか、それとも月例パッチまで出さないのかはまだわからない、と付け加えている。

　21日午前の時点では、この脆弱性についてMicrosoft関係者からはコメントを得られなかった。ただし、この関係者は同社がこの脆弱性の可能性に関する報告について調査を進めていると語った。

　「われわれは、報告された脆弱性を悪用しようとする実証コードが存在することも認識しているが、ただし現時点で顧客がこの問題の影響を受けたという例は耳にしていない」（同関係者）

　Microsoftでは、調査を完了し次第、月例パッチリリースの一部もしくは単独のセキュリティ勧告を公表し、この問題を修正するパッチを提供することで、顧客保護のための適切な措置を講じていくと、この関係者は付け加えた。