米Symantecなどは現地時間12月27日,パッチ未公開のInternet Explorer(IE)のセキュリティ・ホールを突くウイルス(スクリプト)「Phel.A」が出現したことを公表した(日本語情報)。Phel.Aを含むWebページ(HTMLファイル)をWindows XP SP2のIE 6で閲覧すると,バックドアなどの悪質なプログラムを勝手にインストールさせられる。対策は,信頼できないWebページを閲覧しないことなど。
Phel.Aが突くセキュリティ・ホール自体は10月20日に公表されている(関連記事)。そして,このセキュリティ・ホールを使った具体的な攻撃手法が,12月25日ごろにセキュリティ関連のメーリング・リストなどで公表された。具体的には,Webページを閲覧しただけで,Windows XP SP2のIE 6に任意のスクリプトを実行させる手法である。このとき,スクリプトは最も制限が緩い「ローカル コンピュータ ゾーン(マイ コンピュータ ゾーン)」で実行される。Phel.Aは,この攻撃手法を使っていると考えられる。
Symantecの情報によると,Windows XP SP2のIE 6でPhel.Aが仕込まれたWebページを閲覧すると,ある特定のサイトに置かれたスクリプトを実行させられるという。その結果,バックドアなどの悪質なプログラムが勝手にダウンロードされてインストールされる。また,起動時に悪質なプログラムが実行されるように,レジストリが改変される。
修正パッチは公開されていないので,設定変更や“心がけ”で対応するしかない。具体的には,「IEのセキュリティ設定を『高』にする」「IEの『ファイルのドラッグ/ドロップ』または『コピー/貼り付け』を無効にする(マイクロソフトの情報)」「ウイルス対策ソフトを適切に利用する」「信頼できないWebページは閲覧しない」――など。
◎参考資料
◆Trojan.Phel.A(Symantec)
◆ISC Reader's Diary, PHP Include Worm, Trojan in wild that exploits new IE bug , Pacific Earthquake & Tsunami(SANS Institute)
◆Microsoft Internet Explorer HTML Help Control Local Zone Security Restriction Bypass Vulnerability(Bugtraq)
◆Microsoft Internet Explorer HTML Help control bypasses Local Machine Zone Lockdown(US-CERT)
◆Microsoft Internet Explorer Multiple Vulnerabilities(Secunia)
◆Internet Explorer のセキュリティ上の問題 "クリックとスクロール" からコンピュータを保護する方法(マイクロソフト)
(勝村 幸博=IT Pro)
