Windowsの深刻な脆弱性を悪用した攻撃が増加している。しかし、Microsoftは、来週まで修正パッチをリリースする計画はないと述べている。
セキュリティ専門家らは、これに対し、来週のパッチリリースでは遅いと述べている。問題の脆弱性は、同社製オペレーティングシステムにおけるWindows Meta File(WMF)イメージのレンダリング処理に存在するもので、これが悪用されると、ユーザーPCは悪質な画像を含んだウェブページを開いただけでマルウェアに感染してしまう。個人や企業のユーザーは同脆弱性が修正されるまで、深刻なリスクに直面することになると、専門家らは述べる。
セキュリティベンダーComputer Associates Internationalでバイスプレジデントを務めるSam Curryは「ハッカーの間で、この脆弱性は広く知られるようになってきている。また、この脆弱性は簡単に悪用できる」と述べる。「これは深刻な事態として受け止められるべきで、早急に対処する必要がある。できるだけ早くパッチを出すというのが、責任ある企業のやり方だ」(Curry)
セキュリティパッチのリリース方法について、Microsoftが非難されるのは、今回が初めてではない。Microsoftはこうした批判に応じ、システム管理者がシステムアップデートをあらかじめ計画できるように月例パッチリリースの仕組みを取り入れた。しかし、今回のWMF脆弱性のように、緊急性の高い事態が発生した場合は、月例パッチを待たずに、早急にフィックスをリリースすべきだと、批判する者も多い。
WMFの脆弱性に関する詳細は、先週明らかにされた。この脆弱性が公開されて以来、これを悪用したウェブサイトやトロイの木馬が数多く出現したほか、インスタントメッセージを介して拡散するワームも見つかっていると、複数のセキュリティレポートには記載されている。
独マクデブルク大学でウイルス対策ソフトウェアを研究するAndreas Marxによると、すでに100万台以上のPCにおいて同脆弱性が悪用されているという。同氏は、マルウェアをインストールするプログラムのコピーが何件出回っているかを表示するウェブサイトを発見した。
Microsoftは、次回の月例アップデート日である米国時間1月10日に、同脆弱性の修正パッチをリリースすると述べている。セキュリティ対策企業Symantecは、パッチのリリースが遅れれば、その分だけ攻撃者のチャンスは増大すると警告している。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス