米マイクロソフトは米国時間4月27日遅く、ウェブ閲覧ソフト「Internet Explorer(IE)」にリモートでコードが実行される脆弱性が見つかり、それを悪用しようとする標的型攻撃(外部のハッカーからのサイバー攻撃)を受けていることを確認したと発表した。対象となるバージョンはIE 6~11。攻撃はIEを介し、ユーザーに対して特別に作成したウェブページを表示し、誘導するなどして行われる。
30日時点で、マイクロソフトはこの脆弱性を解消する修正プログラムを提供していない。また、先日サポートが打ち切られたWindows XPに対応したセキュリティパッチは公開されない可能性がある。
修正プログラムの提供を待つ間に、ソフトウェア技術者の西村誠一氏(@khb02323)が、この脆弱性の対策ができるフリーソフト「IE_Remove_VGX_DLL Ver0.1」を公開した。VGX.DLLの登録と解除(後述)が簡単にできるというもので、西村氏の運営するウェブサイトでダウンロードできる。
VGX.DLLを無効にすることは、修正プログラムの提供までの一時的な回避策として、マイクロソフトが推奨する方法の一つ。今回の問題をウェブサイトで取り上げた独立行政法人 情報処理推進機構(IPA)でも、この方法を推奨している。
西村氏は、対策方法として推奨されている内容が専門知識のないユーザーにとっては難しいと考え、このフリーソフトを作ったとしている。「(VGX.DLLが)『ちゃんと解除できたのか?』、『ちゃんと登録できたのか?』が分かり難い問題点や、やり方をちょっと間違えると『解除が成功した様に見えて、実は解除が失敗してるケース』もある」とも記載している。
使い方の手順はウェブサイトにまとめられている。質問がある場合は、Twitterアカウント(@khb02323)に送ってほしいとのことだ。
マイクロソフトでは、修正プログラムを提供するまで、ファイアウォールを有効にし、すべてのソフトウェアの更新プログラムを適用、マルウェア対策ソフトウェアをインストールすることを推奨している。また、次の6つをサイバー攻撃からの一時的な回避策として挙げている。
それぞれの詳細は、マイクロソフト セキュリティ アドバイザリ「2963983」の項目「推奨するアクション」で確認できる。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」