「IE 6」「IE 7」に存在する脆弱性--セキュリティ研究者が概念実証コードを公開

　Microsoftが米国時間3月9日に明らかにした「Internet Explorer（IE）」に存在する未対応の脆弱性について、イスラエルのセキュリティ研究者が概念実証コードを公開した。

　Microsoftはセキュリティアドバイザリ（981374）の中で、「IE 6」と「IE 7」に新たに見つかった脆弱性を狙った攻撃が発生していると警告していた。この脆弱性により、攻撃者にコンピュータの制御を許してしまうおそれがあるという。

　概念実証コードの公開はゼロデイ脆弱性による攻撃の機会を高めることから、Microsoftに対して、1カ月後に予定されている次回の月例更新を待たずにパッチを公開させるための圧力となる可能性がある。

　セキュリティ研究者のMoshe Ben Abu氏は3月10日、ブログ投稿の中で自身が作成したコードを公開するとともに、オープンソースの概念実証コードデータベース「Metasploit」にもコードを追加したと述べた。

　Ben Abu氏は、McAfeeのブログ投稿に記載されていた情報に基づいて、脆弱性を突くコードが実際に使われた場所を突き止め、自身も概念実証コードを作成することができたと、米CNETの姉妹サイトであるZDNetで「Zero Day」ブログを運用しているRyan Naraine氏に対して述べた。Ben Abu氏によれば、攻撃に使われたコードを調べて脆弱性を特定するのにかかった時間は10分ほどだったという。

　Ben Abu氏はCNETに対し、McAfeeの助けがなくても、既に作られていた概念実証コードを自分が見つけるのは時間の問題だったはずだ、と述べた。

　ゼロデイ脆弱性の深刻度について聞かれた同氏は、CNETへの電子メールに次のように書いている。「この脆弱性が影響を及ぼすのはIEの最新バージョン（「IE 8」）ではなく、IE 6とIE 7だが、今も旧バージョンを使っているユーザーは多い。さらに、脆弱性を突くコードはかなり不安定で、攻撃の成功率は60％から70％ほどだ。そのため、深刻には違いないが、最新のIEをインストールしていればそれほど問題にはならないと思う」

　この脆弱性に関するMicrosoftのアドバイザリには回避策の情報が含まれているが、IE 6およびIE 7ユーザーに対しては直ちにIE 8にアップグレードすることを推奨している。

　McAfeeの広報担当者は、同社のブログ投稿で提供する詳細情報について、今後はさらに慎重を期すと述べるとともに、電子メールで次のような声明を寄せた。

　「McAfee Labsは概念実証コードの公開を支持するものではなく、セキュリティパッチが提供される前なら特にそうだ。われわれは、攻撃者を利するおそれのある情報を提供しないよう定期的にブログ内容を精査すると同時に、カスタマーおよびセキュリティ関連コミュニティーに対しては、保護水準を改善できるよう支援するサービスを提供している。問題の投稿は概念実証コードを直接突き止められるほどの情報を含んではいなかった。しかし、この特定の状況において今回の投稿が、攻撃者たちに概念実証コードを探すきっかけを与えたかもしれない情報を含んでいたことは事実で、われわれは残念に思っている。今後、ブログ投稿にはさらなる精査を実施していく」