Microsoftは、19年間発見されずにいた脆弱性を修正した。BBC Newsが現地時間11月12日に報じたところによると、IBMの研究員らは5月にこのセキュリティホールを発見し、Microsoftと協力して、存在を公に発表する前に修正したという。「WinShock」と名付けられたこのWindowsの脆弱性は、ユーザーが「Internet Explorer(IE)」で悪意あるウェブページを閲覧した場合に、リモートでコードを実行するのに悪用される恐れがあった。マシンが感染すると、攻撃者はリモートでマシンを操作できる。
WinShockは、Microsoftがリリースした「Windows 95」以降の「Windows」全バージョンに影響を与える。
IBMの研究員であるRobert Freeman氏は、11日に投稿したブログ記事で次のように述べている。「同じWindowsライブラリで他の多くのバグが発見されて修正されたにもかかわらず、この脆弱性は長年にわたって丸見えの状態で存在していたところがあった」
Freeman氏のチームは、WinShockを共通脆弱性評価システム(CVSS)のスコアで9.3(最高は10.0)と評価した。つまり、非常に重大なバグだということだ。WinShockは長年存在していたが、IBMは、実際の悪用例を検出していない。
この脆弱性に関するFAQで、Microsoftは、ユーザーのシステムに影響する仕組みを以下のように説明している。
攻撃者が、Internet Explorerを介してこの脆弱性を悪用するために特別に細工されたウェブサイトをホストし、このウェブサイトを閲覧するようユーザーを誘導するおそれがある。また、攻撃者が、感染サイト、およびユーザーが提供するコンテンツや広告を受け入れたりホストしたりするウェブサイトを利用する可能性もある。こうしたサイトには、この脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれている場合がある。ただし、いずれにしても、攻撃者は自身が制御するコンテンツの閲覧をユーザーに強制することはできない。その代わり、攻撃者はユーザーが行動を起こすよう誘導する必要がある。一般的には、メールやインスタントメッセンジャーのメッセージに含まれた、攻撃者のウェブサイトにつながるリンクをクリックさせる、または、メールで送信した添付ファイルを開かせようとするといった手法だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」