画面●今回公開されたセキュリティ情報の例
画面●今回公開されたセキュリティ情報の例
[画像のクリックで拡大表示]

 日本マイクロソフトは2014年3月12日、Internet Explorer(IE)やWindowsなどに関するセキュリティ情報を5件公開した(画面)。それらに含まれる脆弱性を悪用されると、Webページや文書ファイルを開くだけでウイルスに感染する恐れなどがある。実際、脆弱性を悪用したゼロデイ攻撃が確認されている。対策はセキュリティ更新プログラム(パッチ)の適用。

 今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのWindows(Windows XP/Vista/7/8/8.1/RT/RT 8.1/Server 2003/Server 2008/Server 2008 R2/Server 2012/Server 2012 R2)および全てのIE(IE 6/7/8/9/10/11)、Silverlight 5、Silverlight 5 Developer Runtime。Silverlightについては、Windows版だけではなくMac版も影響を受ける。

 最大深刻度が「緊急」のセキュリティ情報は以下の2件。

(1)[MS14-012]Internet Explorer用の累積的なセキュリティ更新プログラム (2925418)
(2)[MS14-013]Microsoft DirectShowの脆弱性により、リモートでコードが実行される (2929961)

 (1)は、IEに関するセキュリティ情報で、18件の脆弱性が含まれる。そのうちの1件については第三者によって公表され、攻撃に悪用されている(関連記事:IE9/10にパッチ未公開の危険な脆弱性、悪用した標的型攻撃が出現)。

 日本マイクロソフトは2月20日、この脆弱性の概要を解説する「セキュリティアドバイザリ」と、悪用した攻撃を回避するツール「Fix it」を公開したが、パッチは未提供だった。なお、この脆弱性についてはIE11は影響を受けない。

 セキュリティアドバイザリが公開された時点では、この脆弱性は標的型攻撃でのみ使われていたという。ところがその後、この脆弱性を突く攻撃が国内で相次いだ(関連記事:IEを狙ったゼロデイ攻撃が国内で拡大、銀行の口座情報を盗まれる恐れ