Internet Explorer(IE)のセキュリティホールを悪用するコードがウェブ上で公開された。これを使って誰かが電子メールウイルスを送信すると、コンピュータユーザーのマシンやデータが危険にさらされるおそれがあると、Microsoftのセキュリティ専門家が米国時間3月23日に語った。
こうした攻撃によくあるように、この悪質なコードは、ユーザーにこれを含む電子メールの添付ファイルを開かせたり、あるいはこのコードが仕込まれたウェブサイトにアクセスさせたりすることで感染を広げる。これに感染したコンピュータは、攻撃者にリモートから乗っ取られ、データを盗まれたり、他のコンピュータの攻撃に使われたりする可能性がある。
「われわれは、複数の実証コードの例を確認した。しかし現時点では、問題の脆弱性を悪用しようとする攻撃があったという話や、それが顧客に影響を与えたという報告は聞いていない」と、Microsoftは自社のウェブサイトに掲載したセキュリティ情報のなかで述べている。
この脆弱性の影響を受ける可能性があるのは、Windows XP Service Pack 2とIE 6を利用するユーザーだ。両ソフトウェアにセキュリティパッチが完全に適用されているマシンも、同コードの影響を受けるという。一方、3月20日にリリースされたIE 7 Beta 2 Previewのユーザーには、この「createTextRange」脆弱性の影響はないと同社は説明している。
Microsoftは、次のセキュリティパッチ公開時に、この問題を解決するアップデートを提供する予定だとしている。同社はIEユーザーに対して、信用できないウェブサイトにアクセスすることや、知らない送り主からのメールに添付されたファイルを開くことを避けるほか、IEの設定を変更しActive Scripting機能を無効にするように呼びかけている。また、ユーザーにはこの脆弱性の影響がないブラウザを使うという選択肢もある。
セキュリティ対策企業のSecure Elementsでは、この脆弱性の深刻度を同社の最高レベルにあたる「10」に分類しており、その理由としてこれをリモートから悪用できる点、ならびにエクスプロイトコードが公開されている点を挙げている。
「これを悪用するウイルスかワームが、ごく近い将来に登場すると考えられる」とSecure Elementsのセキュリティラボでディレクターを務めるScott Carpenter氏は声明のなかで述べている。「もっとも可能性が高いのは、悪質なサイトへのリンクをはったスパムメールによってこのワームが広まるというものだ」(Carpenter氏)
Microsoftが今週調査を進めている脆弱性はこれが3件目となる。同社は20日にIEをクラッシュさせる可能性のある脆弱性について、また21日には脆弱なWindowマシンの乗っ取りに利用されるおそれがあるセキュリティ脆弱性について、それぞれ調査を進めていると述べていた。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」