ネットセキュリティ監視団体の米国コンピュータ非常事態対応チーム(U.S. national computer emergency response team:US-CERT)は11日(米国時間)にセキュリティ警告を出し、MicrosoftのInternet Explorer(IE)に、攻撃者がユーザーのコンピュータ上でプログラムを実行できるおそれのある欠陥が見つかったとの警告を発した。
この欠陥は、異なるサイトのフレームコンテンツを別々に扱う、IEのクロスドメインセキュリティモデルにある。攻撃者にこの欠陥を悪用されると、IEを起動しているユーザーの権限で、プログラムの実行やファイル閲覧が行われてしまう。
SophosのシニアテクノロジーコンサルタントGraham Cluleyは14日、この脆弱性を悪用したウイルスやハッカーの報告はまだないが、個人ユーザーや企業は「Microsoftが大急ぎでこの脆弱性を修正する」までの間、注意すべきだと述べている。
「この欠陥は特に金融関連サイトに限定されるものではない」が、フィッシング(「なりすまし」)詐欺を働く者がこれを悪用してキー入力記録プログラムを実行し、コンピュータのキーボードに入力されるパスワードを奪い取るかもしれない。キー入力記録プログラムは、ワームやトロイの木馬を使ってコンピュータにインストールされる恐れがある、とCluleyは警告している。
こうした攻撃は、ユーザーがなりすましメールに騙され、偽ウェブサイトに自分の詳細情報を入力してしまう通常のフィッシング攻撃に比べ、防止策が困難だ。
US-CERTでは、ユーザーに対して、ActiveスクリプティングとActiveXコントロールの設定をオフにし、ウイルス対策ソフトウェアを最新の状態に保ち、不要なリンクをクリックしないようアドバイスしている。
Microsoftは現在このバグを調査中で、できる限り早期にパッチをリリースすると、同社の広報担当者は14日に語った。一方同社は、ユーザーが「ハッカーや攻撃者を避けやすく」するためのアドバイスを更新している。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
脱炭素のために”家”ができること
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「Android」スマホのホーム画面を手軽に効率化する5つの方法 
写真で見るモトローラの「手首に着けるスマホ」コンセプトモデル 
注目集めた指輪型にEV、「主役」はスマホからAIへ--MWC Barcelona 2024振り返り、日本企業は存在感高められるか