セキュリティ専門家グループ、IE用の非公式パッチを公開

　最近発見され、すでに悪用例も増え始めているInternet Explorerの脆弱性に対し、あるセキュリティ専門家のグループが、パッチを作成した。

　パッチを作成したのは、Zeroday Emergency Response Team（ZERT）と名乗るグループ。このグループは、Microsoftが正式なパッチを作成するまでの間、ユーザーがマシンを保護できるようにこのパッチを作成した。

　ZERTの広報担当Randy Abrams氏は米国時間9月22日、「グループのなかには、この脆弱性が引き起こすリスクがあまりに大きいため、パッチを待ってはいられないと考えるメンバーがいる。この意見に賛成してパッチを適用するユーザーもいるだろう」と述べた。Abrams氏はセキュリティ企業ESETの技術教育部門でディレクターを務める人物で、ZERTのボランティアでもある。

　脆弱性は、IE 6のグラフィックス処理を行う部分に存在する。複数のセキュリティ企業によれば、攻撃者は、ウェブサイトや電子メールに書かれた悪質なリンクをユーザーにクリックさせることで、彼らの気付かないうちに悪質なソフトウェアをWindows PCにインストールするという。脆弱性を指摘する声は先週からあがっており、サイバー攻撃への悪用もすでに始まっている。

　VeriSignのiDefense緊急対応チームのディレクターKen Dunham氏によると「攻撃はここ24時間でかなり拡大している」という。攻撃者は多くの場合、標的のマシンにスパイウェア、アドウェア、リモートコントロールソフトウェアなどをイントールする。

　Dunham氏によると、サイバー犯罪者がウェブホスティング企業に侵入し、500のインターネットドメインを、この脆弱性を悪用したサイトにリダイレクトさせていた例が確認されているという。同氏は「ネットサーフィンをしているだけで突然、悪意あるウェブサイトに転送される」と述べ、電子メールを使ってこの脆弱性を悪用する攻撃も、すぐに現れるだろうと付け加えた。

　Microsoftは攻撃を認識しているが、サードパーティパッチの利用は推奨しないとしている。Microsoftの担当者は「セキュリティアップデートや情報は製造元メーカーから得るべきで、それが最善の対応だ」とした。