「Internet Explorer」にパッチ未公開の脆弱性--すでに悪用始まる

　「Internet Explorer」に存在する、パッチ未公開のセキュリティ問題を悪用し、ユーザーに悪質なソフトウェアをインストールさせようと試みるサイトが出現したと、専門家らが米国時間9月19日に警告を発した。

　この脆弱性は、IE 6のグラフィックス処理を行う部分に存在する。複数のセキュリティ企業によれば、攻撃者は、ウェブサイトや電子メールに書かれた悪質なリンクをユーザーにクリックさせることで、彼らの気付かないうちに悪質なソフトウェアをWindows PCにインストールするという。

　VeriSignのiDefense事業部で緊急対策チーム担当ディレクターを務めるKen Dunham氏は、電子メールによる声明のなかで、「これまでのパッチをすべて適用したInternet Explorerブラウザでさえも、この問題に対しては脆弱だ。この新しいゼロデイ攻撃は簡単に真似ることができる。したがって近い将来、広範囲に及ぶ攻撃につながる可能性を秘めている」と述べている。

　セキュリティ監視企業のSecuniaとFrench Security Incident Response Teamは、この問題をそれぞれの深刻度評価のなかで最も深刻なレベルに分類している。

　スパイウェアを専門に手がけるSunbelt Softwareの研究開発担当バイスプレジデントEric Sites氏は自社のブログに、今回のIE脆弱性を悪用する動きはアダルトサイトから始まったと書き込んでいる。Sunbeltによると、悪質なサイトがこの問題を悪用し、「膨大な数のアドウェア」をユーザーのPCにインストールした例があったという。

　Microsoftのセキュリティアドバイザリによると、この問題を修復するパッチは、10月10日に月例パッチの一環として公開する計画だという。ただし、「顧客のニーズに応じて」これより早く修復パッチが公開される可能性もあると、Microsoftは述べている。Microsoftは攻撃が広範囲に及ぶ場合にのみ、パッチの投入サイクルを変更する。

　ウェブセキュリティベンダーWebsenseによると、攻撃数は急速な勢いで増加する可能性があるという。Websenseは電子メールで声明を出し、攻撃サイト構築に頻繁に利用される「WebAttacker」というツールがこの問題に対応したようだと述べた。Websenseは「われわれは、既に知られている複数のWebAttackerサイトがこの脆弱性を悪用して悪質なソフトウェアのインストールを試みていることを確認した。われわれは、ほかのWebAttackerサイトがこのツールキットの最新版リリースにあわせてアップデートし、問題を悪用し始めるものと見ている」と述べている。