マイクロソフト、9月の月例パッチを公開--すでに悪用されているIEの深刻なバグを修正

　Microsoftが9月のセキュリティアップデートで94個の脆弱性を修正した。リモートコード実行のおそれがある多数の脆弱性や、これまで放置されてきた「Internet Explorer」（IE）の深刻なバグが含まれる。このIEのバグは犯罪者によって悪用されている。

　Microsoftは米国時間9月13日にリリースしたアップデートで、IEの深刻な情報漏えいの脆弱性を修正した。独立系のマルウェア研究者「Kafeine」氏によると、このバグがMicrosoftに最初に報告されたのは2015年のことだが、同社は対処しなかったという。同社がこのバグを深刻なものとみなさなかったことが理由である可能性もあるという。

　ProofpointとTrendMicroが改めてそのバグを報告し、それが犯罪者に悪用されている証拠を提示したことを受けて、今回、アップデートがリリースされた。

　このIEの脆弱性（CVE-2016-3351）は、被害者をランサムウェアに誘導する悪質な広告をオンライン広告ネットワークに蔓延させる複数の犯罪者集団によって、攻撃ツールの1つとして使われており、2014年1月から、ウェブへの自動攻撃で悪用されている。

　Kafeine氏によると、そのエクスプロイトは、セキュリティ研究者がマルウェアの検知と分析に使用するツール群を回避する機能も備えるという。エンドユーザーのシステムをウェブ経由で感染させる攻撃にも使用された。ただし、Microsoftが指摘しているように、攻撃者は被害者を騙して、攻撃サイトへのリンクをクリックさせる必要があった。

　Kafeine氏によると、何カ月、あるいは何年も放置されることもある深刻度の低いバグや低レベルの脆弱性が犯罪者に悪用されることが増えているという。

　「今回のケースでは、AdGholasという組織が、研究者やベンダーの自動システムによる検知を避ける目的のためだけにそうしたバグを利用し、大規模かつ長期の不正広告攻撃の実行中も検知を回避し続けた」（Kafeine氏）

　9月のアップデートのセキュリティ情報は14件で、10件はリモートコード実行の脆弱性、2件は特権昇格の脆弱性、2件は情報漏えいの脆弱性だった。

IEの脆弱性は犯罪者集団に悪用されてきた。
提供：Microsoft