日本マイクロソフトは2014年3月7日、Internet Explorer(IE)やWindowsの脆弱性を修正するセキュリティ更新プログラム(パッチ)を3月12日に公開することを明らかにした(画面)。修正される脆弱性には、ゼロデイ攻撃に悪用されている、IE9およびIE10の脆弱性も含まれる。
IE9とIE10には、未修正の脆弱性が見つかっている(関連記事:IE9/10にパッチ未公開の危険な脆弱性、悪用した標的型攻撃が出現)。日本マイクロソフトは2月20日、この脆弱性の概要を解説する「セキュリティアドバイザリ」と、悪用した攻撃を回避するツール「Fix it」を公開したが、パッチは未提供だった。Fix itとは、Windowsの設定を変更して、既知の攻撃を回避するためのツール。このツールを使っても、脆弱性は解消されない。
IE11は影響を受けないので、IE11にバージョンアップすれば脆弱性を解消できる。しかしながら現時点では、IE11に未対応のWebサイト(Webアプリケーション)は少なくない。そういったユーザーはIE11にバージョンアップできないので、Fix itで攻撃を回避するしかない。
セキュリティアドバイザリが公開された時点では、この脆弱性は標的型攻撃でのみ使われていたという。ところがその後、この脆弱性を突く“ワナ”が仕掛けられたWebサイトが続出した(関連記事:IEを狙ったゼロデイ攻撃が国内で拡大、銀行の口座情報を盗まれる恐れ)。攻撃者は正規のWebサイトに侵入してWebページを改ざんし、ワナを仕掛けた。
ワナを仕掛けられたWebページにアクセスすると、オンラインバンクの口座情報を盗むウイルスなどに感染する恐れがあった。セキュリティベンダーなどの報告によれば、国内のWebサイトにもワナが仕掛けられたという。
日本マイクロソフトでは、毎月第2水曜日(正確には、米国時間毎月第2火曜日の翌日)に、同社製品のパッチをまとめて公開している。そして今回、2014年3月のパッチ公開日となる3月12日には、前述の脆弱性を解消するパッチを提供することを明らかにした。このパッチを適用すれば、IE11にバージョンアップできない環境でも、脆弱性を解消できる。
同日には、IE以外のパッチも公開される。全部で5件公開予定で、そのうちの2件は深刻度が最も高い「緊急」、残りの3件は2番目に高い「重要」に設定されている。
[発表資料へ]
