Internet Explorerに新たなバグ--フィッシング詐欺被害の可能性も

　ネットセキュリティ監視団体の米国コンピュータ非常事態対応チーム（U.S. national computer emergency response team：US-CERT）は11日（米国時間）にセキュリティ警告を出し、MicrosoftのInternet Explorer（IE）に、攻撃者がユーザーのコンピュータ上でプログラムを実行できるおそれのある欠陥が見つかったとの警告を発した。

　この欠陥は、異なるサイトのフレームコンテンツを別々に扱う、IEのクロスドメインセキュリティモデルにある。攻撃者にこの欠陥を悪用されると、IEを起動しているユーザーの権限で、プログラムの実行やファイル閲覧が行われてしまう。

　SophosのシニアテクノロジーコンサルタントGraham Cluleyは14日、この脆弱性を悪用したウイルスやハッカーの報告はまだないが、個人ユーザーや企業は「Microsoftが大急ぎでこの脆弱性を修正する」までの間、注意すべきだと述べている。

　「この欠陥は特に金融関連サイトに限定されるものではない」が、フィッシング（「なりすまし」）詐欺を働く者がこれを悪用してキー入力記録プログラムを実行し、コンピュータのキーボードに入力されるパスワードを奪い取るかもしれない。キー入力記録プログラムは、ワームやトロイの木馬を使ってコンピュータにインストールされる恐れがある、とCluleyは警告している。

　こうした攻撃は、ユーザーがなりすましメールに騙され、偽ウェブサイトに自分の詳細情報を入力してしまう通常のフィッシング攻撃に比べ、防止策が困難だ。

　US-CERTでは、ユーザーに対して、ActiveスクリプティングとActiveXコントロールの設定をオフにし、ウイルス対策ソフトウェアを最新の状態に保ち、不要なリンクをクリックしないようアドバイスしている。

　Microsoftは現在このバグを調査中で、できる限り早期にパッチをリリースすると、同社の広報担当者は14日に語った。一方同社は、ユーザーが「ハッカーや攻撃者を避けやすく」するためのアドバイスを更新している。