米Microsoftは現地時間2014年4月26日、Internet Explorer 6~11に標的型攻撃に悪用されうる脆弱性があると公表した(米MicrosoftのSecurity Advisory)。米FireEyeは同日、IE 9~11を対象にした防衛・金融関連組織への標的型攻撃を検知したとブログにポストしている(米FireEyeのブログ記事)。FireEyeは一連の標的型攻撃を「Operation Clandestine Fox」と名付けた。

 攻撃者が脆弱性を悪用すると、リモートで任意のコードを実行できる可能性がある。削除済みや適切に割り当てていないメモリーにIEを通じてアクセスし、任意のコードを配置できる脆弱性である。FireEyeが検知した標的型攻撃は、今回発見されたIEの脆弱性とFlashの既知の脆弱性を組み合わせた攻撃だったという。

 現時点でセキュリティパッチは存在しない。Microsoftは月例のセキュリティ更新プログラムでパッチを配布する予定としている。Microsoftは同社製の脆弱性緩和ツール「EMET」(Enhanced Mitigation Experience Toolkit)の利用や、「VGX.DLL」の無効化を回避策として紹介。FireEyeはFlashプラグインの無効化を推奨している。加えて、「解決方法がリリースされないXPユーザーに対しては、今後もこの脆弱性を利用した標的型攻撃が多く起こることが予想される」(米FireEye)としている。