セキュリティ組織やベンダーは9月30日以降,Windowsに見つかった新しいセキュリティ・ホール(脆弱性)を悪用するWebサイトが続出しているとして注意を呼びかけている。そのようなWebサイトにIEでアクセスするだけで,悪質なプログラム(ウイルスやスパイウエアなど)を勝手に仕込まれる恐れがある。修正パッチは10月11日にリリースされる予定。
攻撃対象となっているセキュリティ・ホールは,Windowsに含まれるActiveXコントロール「WebViewFolderIcon(webvw.dll)」に関するもの。このコントロールには整数オーバーフローが見つかっている。このため,細工が施されたWebページやHTMLメールをIE(あるいは,IEのコンポーネントを使うアプリケーション)で開くと,攻撃者が意図した任意のプログラムを実行される可能性がある。
このセキュリティ・ホール自体は,第三者によって7月19日に公表されている。公表したのは,セキュリティ・ツール「Metasploit Framework」の開発者であるHD Moore氏。セキュリティ・ホールの公表とともに,セキュリティ・ホールを突いてIEを不正終了させる実証コード(Exploit)をリリースした。その後同氏は,セキュリティ・ホールを突いて任意のプログラムを実行させるようなコードも公表した。
このため,セキュリティ組織の米US-CERTは現地時間9月27日に警告情報をリリース(関連記事:7月に見つかったIEのパッチ未公開セキュリティ・ホールを突くプログラム出現)。マイクロソフトは9月29日,回避策をまとめたセキュリティアドバイザリを公開するとともに,修正パッチを10月11日にリリースする予定であることを明らかにした(関連記事:マイクロソフト,パッチ未公開セキュリティ・ホールの回避策を公開)。
セキュリティ組織やベンダーによると,任意のプログラムを実行させるコードが公表された後,このセキュリティ・ホールを悪用するWebサイトが続出しているという。米Websenseでは,現地時間9月30日時点で600を超える攻撃サイトを確認している。
回避策を施していない状態で,攻撃サイトにIEでアクセスすると「ダウンローダ(別のプログラムをダウンロードしてインストールするプログラム)」が仕込まれて,別の悪質なプログラム(ウイルスやスパイウエアなど)を勝手にインストールされてしまうという。
攻撃サイトへは,メール中のリンクや検索サイトから誘導されるケースが多い。攻撃サイトはアダルト・サイトなどである場合が多いものの,正規のサイトが不正アクセスされてセキュリティ・ホールを突くコードが仕込まれたり,掲示板サイトに悪質なコードが張られたりしている場合もあるという。
修正パッチは未公開で,次の“月例パッチ公開日”である10月11日にリリースされる予定。それまでは,回避策を施して被害に遭わないようにしたい。回避策は,「IEのセキュリティ設定を強化する」「IE以外のWebブラウザを利用する」「信頼できないサイトへはアクセスしない(信頼できないリンクはクリックしない)」---など。
問題のActiveXコントロールがIEから呼び出されないようにKill Bitを設定することも有効な回避策である。米SANS Instituteでは,Kill Bitを自動的に設定するためのツールを公開している。回避策を施す具体的な手順については,マイクロソフトの情報や関連記事(関連記事1,関連記事2)を参照してほしい。
・米SANS Instituteの情報
・米Websenseの情報
・フィンランドF-Secureの情報
