Internet Explorer(IE)に見つかった新しいセキュリティ・ホールが6月7日以降,セキュリティ関連のメーリング・リストやWebサイトで話題になっている。このセキュリティ・ホールを悪用するWebサイトが既に出現しているためである。今までに公開されたIEのパッチをすべて適用していても,そのサイトのページを閲覧するだけで,アドウエア(広告を表示するプログラム)を勝手にインストールされてしまう。

 このセキュリティ・ホールに関する情報を公開しているセキュリティ・ベンダーSecuniaによると,IEの設定でアクティブ スクリプトを無効にすれば回避できるという。ウイルス対策ソフトによっては,セキュリティ・ホールを悪用するWebページをウイルスとして検出する。とにかく,怪しいWebページにアクセスしたり,怪しいリンクをクリックしないことに限る。

 Secuniaによると,悪用されているセキュリティ・ホールは2種類だという。(1)HTTPの「Location」ヘッダーに関するセキュリティ・ホールと,(2)「クロスゾーン・スクリプティング」のセキュリティ・ホールである。いずれも,マイクロソフトからは情報やパッチは公開されていない。(1)により,攻撃者はユーザー・マシン内のファイルにアクセスでき,(2)により,任意のファイルを最も制限が緩い「ローカル コンピュータ ゾーン(マイ コンピュータ ゾーン)」で実行させることが可能となる。

 詳細についてはSecuniaの情報では触れていないが,これらを組み合わせることで,Webページ(HTMLファイル)にIEでアクセスしたユーザーのマシンに任意のプログラムを勝手にダウンロードさせ,実行させることが可能となる。セキュリティ・ホールを悪用するサイトのURLは公開されており,セキュリティ・ホールを検証するためのプログラム(Exploit)も既に出回っている。このため,今回のセキュリティ・ホールを悪用するサイトがさらに出現する可能性は高い。例えば,米SANS Instituteでは「スパムの中継エンジンやキー・ロガーなどを仕込むことも可能で,悪用方法は数え切れない」としている。十分注意したい。

 パッチは未公開なので,設定変更や“心構え”で回避するしかない。Secuniaは,「信頼できるサイト以外では,アクティブ スクリプトを無効にする」ことを回避策として挙げている。

 今回のセキュリティ・ホールに限らず,詳細が明らかになっていながらパッチが未公開のIEのセキュリティ・ホールは複数存在する。信頼できるサイト以外は,IEのセキュリティ設定をできるだけ厳しくしたほうがよい。IT Proで過去に掲載した「IEを使い続けるリスクを再認識しよう」(2003年12月公開)や「パッチ未公開のセキュリティ・ホールにも対応,最新版『IEを使い続けるための“お勧め”設定』」(2004年4月公開)が参考になるので,ぜひ一読していただきたい。

 もちろん,「怪しいサイトにはアクセスしない/怪しいリンクはクリックしない」といった心構えも重要だ。インターネット上のサイトにはどんな罠が仕掛けられているか分からない。

 なお,筆者がExploitなどを試したところ,ウイルス対策ソフトによっては,セキュリティ・ホールを悪用するWebページ(HTMLファイル)をウイルスとして検出した。今までにも,パッチ未公開のセキュリティ・ホールを突くコードをウイルスとして検出したことはあった(関連記事)。ウイルス対策ソフトを適切に使用する(常駐させる/ウイルス定義ファイルをきちんと更新する)ことも,パッチ未公開のセキュリティ・ホール対策の一つになる。

◎参考資料
Internet Explorer Local Resource Access and Cross-Zone Scripting Vulnerabilities(Secunia)

(勝村 幸博=IT Pro)