図1 今回の脆弱性を悪用するゼロデイ攻撃の検出数(米マイクロソフトの情報から引用)。米国時間2010年6月15日から6月29日までの、攻撃されたコンピューター数および1日当たりの攻撃数の推移を示している
図1 今回の脆弱性を悪用するゼロデイ攻撃の検出数(米マイクロソフトの情報から引用)。米国時間2010年6月15日から6月29日までの、攻撃されたコンピューター数および1日当たりの攻撃数の推移を示している
[画像のクリックで拡大表示]
図2 今回のゼロデイ攻撃を受けているコンピューターの割合(米マイクロソフトの情報から引用)。国・地域ごとに、「攻撃を受けたコンピューターの台数」を「その国・地域に存在するコンピューターの台数」で割って、攻撃の集中度を算出している
図2 今回のゼロデイ攻撃を受けているコンピューターの割合(米マイクロソフトの情報から引用)。国・地域ごとに、「攻撃を受けたコンピューターの台数」を「その国・地域に存在するコンピューターの台数」で割って、攻撃の集中度を算出している
[画像のクリックで拡大表示]

 米マイクロソフトは2010年6月30日、Windowsの新しい脆弱(ぜいじゃく)性を悪用する攻撃が世界中で確認されているとして注意を呼びかけた。同日までに、1万台以上のコンピューターが攻撃を受けているという。セキュリティ更新プログラム(修正パッチ)は未公開。

 攻撃に悪用されているのは、Windowsのヘルプ機能である「ヘルプとサポートセンター」に見つかった脆弱性。脆弱性の存在を示す無害のプログラムが公開されたため、マイクロソフトは2010年6月11日(日本時間)、脆弱性の概要をまとめたセキュリティアドバイザリを公表した。

 影響を受けるのは、Windows XPおよびWindows Server 2003。細工が施されたWebサイトにアクセスするだけで、ウイルスに感染するなどの危険性がある。

 実際6月16日(日本時間)には、この脆弱性を悪用した攻撃が確認された。修正パッチが未公表の脆弱性を突く攻撃なので、いわゆる「ゼロデイ攻撃」である。この攻撃では、攻撃者は正規のWebサイトに不正侵入し、「わな」を仕掛ける。ユーザーがそのサイトにアクセスすると、攻撃者が用意した別のサイトに誘導され、脆弱性を悪用するウイルスがダウンロードされる。

 当初は、攻撃対象が限定された小規模な攻撃だったが、6月21日以降急速に拡大(図1)。同社の観測によれば、1万台を超えるコンピューターが、今回の脆弱性を悪用した攻撃を1回以上受けているという。

 攻撃によって感染させられるウイルスの種類も変わってきている。当初は、別のウイルスをダウンロードするウイルスだけだったが、現在ではさまざまなウイルスが使われている。例えば、パソコンを乗っ取るウイルスや、セキュリティ対策ソフトを無効にするウイルス、迷惑メールを送信するウイルスなどが使われている。

 攻撃は世界中で確認されている。攻撃数が多いのは、米国、ロシア、ポルトガル、ドイツ、ブラジル。攻撃を受ける割合が高いのは、ポルトガルやロシア(図2)。例えばポルトガルでは、同国に存在するコンピューターの0.48%が、今回のゼロデイ攻撃を受けている。世界全体での平均値は0.04%なので、ポルトガルでは10倍以上攻撃が集中しているという。

 攻撃を回避する方法の一つは、攻撃に悪用される「HCPプロトコル」を無効にすること。無効にする具体的な手順については、マイクロソフトが公開する情報を参照してほしい。

 セキュリティ対策ソフトの利用も回避策の一つ。対策ソフトの中には、今回の脆弱性を突くウイルスを検出・駆除できるものがある。例えばマイクロソフトの対策ソフト「Security Essentials」や「Forefront Client Security」では、既に対応しているとしている。