マイクロソフト、マウスカーソルの追跡を許すIEの脆弱性を調査

　Microsoftは、同社のウェブブラウザ「Internet Explorer（IE）」の潜在的な脆弱性について調査を行っている。この脆弱性は、攻撃者がユーザーのマウスカーソルの動きを追跡できてしまうというものである。追跡はブラウザウィンドウを使用していない状況でも可能だという。

　セキュリティ企業のSpider.ioが数カ月前に発見し、脆弱性であるとしているこの問題は、MicrosoftがサポートしているIE6以降のすべてバージョンにおけるバーチャルキーボードやバーチャルキーパッドのセキュリティを侵害するものであるという。

　Spider.ioは声明で「悪意を持った広告主の広告を掲載しているページがオープンされている限り、そのページをバックグラウンドのタブに押しやっても、あるいはIEを最小化したとしても、マウスカーソルがディスプレイ上のどこにあるのか把握されてしまう」と述べている。

　Spider.ioは、セキュリティに注意を払っているユーザーであっても、カーソルの動きを記録されるというリスクにさらされると警告している。同社は「攻撃者は、ユーザーの訪問するウェブページ上の広告欄を購入するだけで、そのユーザーのマウスの動きを追跡できるようになる」と述べたうえで、アドエクスチェンジ（広告枠取引）が行われている以上、YouTubeからThe New York Timesにいたるまで、あらゆるウェブサイトが攻撃の媒介になり得ると述べている。

　脆弱性とおぼしきIEのこの動作は、Spider.ioによると、少なくとも2社の表示広告分析会社によって利用されており、人々がオンライン上でどういったものを閲覧しているかが把握されているという。

　英国に拠点を置く同社のセキュリティ研究者は、現地時間10月1日にこの問題をMicrosoftに知らせたものの、Microsoftは同脆弱性に緊急に対処する気はないようだと述べている。

　Spider.ioは声明のなかで「Microsoft Security Response Center（MSRC）はIEにこういった脆弱性が存在していることを認めたものの、既存のバージョンに含まれているこういった脆弱性にすぐに対処する計画はないと伝えてきた」と述べるとともに「IEユーザーが同脆弱性と、その影響について知っておくことは重要だ」と述べている。

　Microsoftは、分析会社間の競争に問題があるとしており、この件を重要視していないようだ。

　MicrosoftのIE担当バイスプレジデントであるDean Hachamovitch氏は米国時間12月13日の午後、同社ブログへの投稿において「現時点でわれわれが把握している限り、この問題の根底にあるのはコンシューマーの安全やプライバシーというよりも、分析会社間の競争というものだ」と述べている。

　また同氏は「IEでのこの挙動を正すべく、精力的に取り組んでいる」と述べ、ほかのブラウザでも同様のことが起きる可能性があると付け加えた。