検索
ニュース

IEの脆弱性を修正する緊急アップデート公開、XPにも「特例」で提供XP狙いの攻撃を米国で観測

米マイクロソフトは米国時間の2014年5月1日(日本時間5月2日)、Internet Explorer 6〜11に存在する深刻な脆弱(ぜいじゃく)性を修正するセキュリティ更新プログラム(MS14-021)を緊急公開した。特例としてWindows XP向けも含まれている。

Share
Tweet
LINE
Hatena

 米マイクロソフトは米国時間の2014年5月1日(日本時間5月2日)、Internet Explorer(IE)6〜11に存在する深刻な脆弱(ぜいじゃく)性を修正するセキュリティ更新プログラム(MS14-021)を緊急公開し、Windows Updateなどを通じて配布を開始した。さらに「特例」として、4月9日(日本時間)でサポートが終了したWindows XPおよびIE 6用にもパッチを提供する。

 この脆弱性は米国時間の4月26日に明らかになった。IEのメモリ管理に問題があり、悪意あるサイト、あるいは改ざんされたサイトにアクセスするなどして悪用されれば、リモートから任意のコードを実行され、アプリケーションが不正に終了したり、攻撃者にPCを乗っ取られたりする恐れがある。実際、米国のセキュリティ企業、ファイア・アイは同じく26日、この脆弱性を悪用したゼロデイ攻撃「Clandestine Fox」を観測したことをブログで報告していた。

 パッチの配布対象は、Windows XPから8.1 UpdateまでのIE 6〜11。Windows XPについては、利用している一般ユーザーがいまだに非常に多い状況を受け、「特別な措置」として、Windows XP SP3向け緊急パッチを提供する。ただし、あくまでサポートは終了していることから、Windows 8.1などより新しいバージョンのWindowsへの早急な移行を推奨している。

 根本的な対策であるパッチが提供されるまでの回避策として、Enhanced Mitigation Experience Toolkit(EMET)の適用やVector Markup Language(VML)の無効化、Flashプラグインの無効化といった方法が挙げられ、実行が難しい場合は他のWebブラウザの利用が推奨されていた。もし、回避策として、「VGX.DLL上のAccess Control List(ACL)を修正する」という手段を採用していた場合は、その措置を解除する必要がある。詳細は「マイクロソフト セキュリティ情報 MS14-021 - 緊急」の[更新プログラムに関する FAQ]に記されている。

 マイクロソフトや米SANS、情報処理推進機構(IPA)などのセキュリティ組織では、パッチの速やかな適用を推奨している。

Windows XPを狙った攻撃も観測

 一方で米ファイア・アイは5月1日、Windows XP上で動作しているIE 8を標的にした攻撃を確認したことを明らかにした。当初の攻撃はWindows 7/8上のIE 9〜11を狙ったものだったが、Windows XPもまた標的にされた。攻撃母体も増えており、当初の防衛産業や金融機関だけでなく、政府機関やエネルギー産業など別の組織にも攻撃が広がりつつあるという。

 今回のClandestine Fox以前にも、「DeputyDog」「Hydra」など、IEの脆弱性を狙ったゼロデイ攻撃はたびたび発生してきた(関連記事)。しかしファイア・アイ日本法人のCTO、三輪信雄氏は、サポート切れのWindows XPも狙ってきている点に注意を要すると指摘している。

 仮説として、攻撃者側は既に未公開のIEの脆弱性を複数発見しており、Windows XPのサポート切れというタイミングでその「在庫」の1つを投下してきたと考えることもできる。三輪氏によると、今回の攻撃者は、Advanced Persistent Threat(APT:高度で持続的な攻撃)を仕掛けるグループの中でも「精鋭部隊」であると推測され、これまでの経緯から「IEの脆弱性をさらに在庫として抱えていると思われる」という。

 ファイア・アイによると、今のところ日本国内ではこの脆弱性を悪用した攻撃は観測していない。IPAも、日本時間の5月1日18時時点では、「この脆弱性がこのような個人への攻撃に悪用されているという情報は確認していない」という。マイクロソフトもまた、この脆弱性については「大き過ぎる懸念が広がっていると考えており、攻撃は非常に限定的」と述べている。

 しかし、IEの脆弱性を狙ったゼロデイ攻撃が過去2〜3カ月おきに発生してきた事実を踏まえると、「6〜7月あたりにまた攻撃が行われる可能性がある」(三輪氏)。今回は特例措置としてWindows XP向けにもパッチが提供されたが、次回もまたそうなるとは限らない。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  3. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  4. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  5. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  6. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  7. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  10. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
ページトップに戻る