検索
ニュース

IEの脆弱性を修正する緊急アップデート公開、XPにも「特例」で提供XP狙いの攻撃を米国で観測

米マイクロソフトは米国時間の2014年5月1日(日本時間5月2日)、Internet Explorer 6〜11に存在する深刻な脆弱(ぜいじゃく)性を修正するセキュリティ更新プログラム(MS14-021)を緊急公開した。特例としてWindows XP向けも含まれている。

Share
Tweet
LINE
Hatena

 米マイクロソフトは米国時間の2014年5月1日(日本時間5月2日)、Internet Explorer(IE)6〜11に存在する深刻な脆弱(ぜいじゃく)性を修正するセキュリティ更新プログラム(MS14-021)を緊急公開し、Windows Updateなどを通じて配布を開始した。さらに「特例」として、4月9日(日本時間)でサポートが終了したWindows XPおよびIE 6用にもパッチを提供する。

 この脆弱性は米国時間の4月26日に明らかになった。IEのメモリ管理に問題があり、悪意あるサイト、あるいは改ざんされたサイトにアクセスするなどして悪用されれば、リモートから任意のコードを実行され、アプリケーションが不正に終了したり、攻撃者にPCを乗っ取られたりする恐れがある。実際、米国のセキュリティ企業、ファイア・アイは同じく26日、この脆弱性を悪用したゼロデイ攻撃「Clandestine Fox」を観測したことをブログで報告していた。

 パッチの配布対象は、Windows XPから8.1 UpdateまでのIE 6〜11。Windows XPについては、利用している一般ユーザーがいまだに非常に多い状況を受け、「特別な措置」として、Windows XP SP3向け緊急パッチを提供する。ただし、あくまでサポートは終了していることから、Windows 8.1などより新しいバージョンのWindowsへの早急な移行を推奨している。

 根本的な対策であるパッチが提供されるまでの回避策として、Enhanced Mitigation Experience Toolkit(EMET)の適用やVector Markup Language(VML)の無効化、Flashプラグインの無効化といった方法が挙げられ、実行が難しい場合は他のWebブラウザの利用が推奨されていた。もし、回避策として、「VGX.DLL上のAccess Control List(ACL)を修正する」という手段を採用していた場合は、その措置を解除する必要がある。詳細は「マイクロソフト セキュリティ情報 MS14-021 - 緊急」の[更新プログラムに関する FAQ]に記されている。

 マイクロソフトや米SANS、情報処理推進機構(IPA)などのセキュリティ組織では、パッチの速やかな適用を推奨している。

Windows XPを狙った攻撃も観測

 一方で米ファイア・アイは5月1日、Windows XP上で動作しているIE 8を標的にした攻撃を確認したことを明らかにした。当初の攻撃はWindows 7/8上のIE 9〜11を狙ったものだったが、Windows XPもまた標的にされた。攻撃母体も増えており、当初の防衛産業や金融機関だけでなく、政府機関やエネルギー産業など別の組織にも攻撃が広がりつつあるという。

 今回のClandestine Fox以前にも、「DeputyDog」「Hydra」など、IEの脆弱性を狙ったゼロデイ攻撃はたびたび発生してきた(関連記事)。しかしファイア・アイ日本法人のCTO、三輪信雄氏は、サポート切れのWindows XPも狙ってきている点に注意を要すると指摘している。

 仮説として、攻撃者側は既に未公開のIEの脆弱性を複数発見しており、Windows XPのサポート切れというタイミングでその「在庫」の1つを投下してきたと考えることもできる。三輪氏によると、今回の攻撃者は、Advanced Persistent Threat(APT:高度で持続的な攻撃)を仕掛けるグループの中でも「精鋭部隊」であると推測され、これまでの経緯から「IEの脆弱性をさらに在庫として抱えていると思われる」という。

 ファイア・アイによると、今のところ日本国内ではこの脆弱性を悪用した攻撃は観測していない。IPAも、日本時間の5月1日18時時点では、「この脆弱性がこのような個人への攻撃に悪用されているという情報は確認していない」という。マイクロソフトもまた、この脆弱性については「大き過ぎる懸念が広がっていると考えており、攻撃は非常に限定的」と述べている。

 しかし、IEの脆弱性を狙ったゼロデイ攻撃が過去2〜3カ月おきに発生してきた事実を踏まえると、「6〜7月あたりにまた攻撃が行われる可能性がある」(三輪氏)。今回は特例措置としてWindows XP向けにもパッチが提供されたが、次回もまたそうなるとは限らない。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  2. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  7. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  8. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  9. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る