2014年4月末、Internet Explorer(IE)に新たな脆弱性(セキュリティ上の欠陥)が見つかり大きな話題となった。例えばテレビや一般紙で大きく取り上げられ、一部の地方自治体や企業では、IEの利用やネットへのアクセスを制限したと伝えられている。

 だが実は、同様の脆弱性は過去に何度も見つかっている。ではなぜ、今回の脆弱性がこれほど話題になったのか。それは、“タイミング”と“誤解”が大きく影響したと考えられる。

「ゼロデイ攻撃」で脆弱性が発覚

 今回の脆弱性は、IEのメモリー管理に関するものだ。細工が施されたWebサイトにアクセスするだけで、ウイルス(マルウエア)に感染し、パソコンを乗っ取られる恐れがある。

 実際、この脆弱性を悪用した攻撃が確認されたことで、脆弱性の存在が発覚したとみられる。セキュリティ更新プログラム(パッチ)が未公開の脆弱性(ゼロデイ脆弱性)を突く攻撃で、「ゼロデイ攻撃」と呼ばれる。

 まず米国時間4月26日に、セキュリティベンダーの米ファイア・アイが、今回の脆弱性を悪用した標的型攻撃(特定の企業や組織を狙った限定的な攻撃)を確認したと発表した(関連記事:IE 6~11に深刻なゼロデイ脆弱性、米FireEyeが標的型攻撃への悪用を観測)。攻撃対象は、防衛・金融関連組織だったとされる。またこの攻撃では、今回発見されたIEの脆弱性だけではなく、Flashの既知の脆弱性も組み合わせて使われたという。

 同日、米マイクロソフトは、脆弱性の概要をまとめた「セキュリティアドバイザリー」を公開。IE6からIE11までのバージョンに今回の脆弱性が存在することを明らかにするとともに、脆弱性の影響を緩和するための回避策を公開した。

 回避策として、Windowsの設定を変更して「VML(Vector Markup Language)」という機能を無効にすることや、無償の脆弱性緩和ツール「EMET(Enhanced Mitigation Experience Toolkit)」の利用などを挙げていた。