セキュリティ組織の米SANS Instituteは現地時間5月21日,Microsoft Wordの新しい脆弱性(セキュリティ・ホール)を狙った攻撃は極めて限定的なので,ほとんどの企業/組織においては,現時点では慌てる必要がないと呼びかけた。
5月19日以降,パッチ未公開のWordの脆弱性を突くファイルを添付したメールが確認され話題になっている(関連記事:Microsoft Wordにパッチ未公開の脆弱性)。しかしながら,メールは特定の企業/組織だけに送られていて,広くは出回っていないという。脆弱性の詳細も公表されていない。
このため,攻撃者が当初の“方針”を変更して広くばらまいたり,第三者がこのメール(脆弱性を突くファイル)を入手してカスタマイズしたりしない限り,標的とされた企業/組織以外が攻撃を受ける可能性は低いとしている。
標的とされていない企業/組織は,慌ててパニックに陥ることが最もまずいケースであるとしている。今回のWordの脆弱性は,今後出現するであろう未知の脆弱性の一つと認識し,どのような脆弱性の影響も緩和できるような一般的なセキュリティ対策をきちんと施すことが重要である。
◎参考資料
◆Targeted attack: experience from the trenches
