ロシアのISP(インターネット・サービス・プロバイダ)と法の執行機関は先週末,「Download.Ject」と呼ばれる悪意のあるアプリケーションの配布に責任があったWebサイトを閉鎖した。このDownload.Jectは,MicrosoftのInternet Explorer(IE)とInternet Information Services(IIS)5.0にある弱点を攻撃するものだ。

 攻撃者は,インターネット上にある特定の無名のサーバーを狙い,財務情報や電子メールのパスワードを盗むために,Download.Jectアプリケーション(Microsoftはそれをワームやウイルスではないといっている)を使った。しかし今回の閉鎖で,Windowsユーザーにとって悪夢になりそうな事態に,とりあえず終止符が打たれた。

 Download.Jectによる今回の攻撃の巧妙さは,将来の攻撃の見本になるかもしれないとセキュリティ研究者を悩ませている。攻撃者は,特定のサーバーで既にパッチがあるもの,まだそれが当たっていない弱点を攻撃して,IISベースのWebサーバーを乗っ取る。

 攻撃者は,そのあとそのサイトの全ページに,ユーザーを上記ロシアのWebサイトにリダイレクトするJavaScriptのコードを埋め込む。ロシアのそのサイトは,オリジナルのサイトを装って立てられたものだ。侵入を受けたサイトは,それ以後ユーザーのコンピュータにキーストローク・レコーダとバックドアを開けるアプリケーションをこっそりとインストールしていた。

 次の重要なことを心に留めておくことだ。Microsoftは既にIISをパッチしたが,IEにはまだ弱点が残っている。

Gates氏が[自動更新]の利用を呼びかける
 米Microsoftの会長兼チーフ・ソフトウエア・アーキテクトであるBill Gates氏は,最近の多数のIEへの攻撃に触れ,Windowsの[自動更新](Automatic Updates)の利用を呼びかけている。同氏は,ソフトウエアの弱点の発見からパッチをリリースするまで時間を短くするために,Microsoftは努力していると言った。しかし,この計画のカギはユーザーの手の中にある。

 Microsoftのセキュリティ・パッチ作業の恩恵をすぐ受けるには,ユーザーはWindowsの[自動更新]機能を有効にしていなければならない。「われわれは修正にかかる平均時間を短縮し続けることを確約する」とGates氏はいう。「われわれがやらなくてはいけないことはこうしたパッチをすばやく提供することだけではない。人々に([自動更新]を)有効にしてもらうよう,説得することもやらなければならない」と。いい考えだ。Windowsユーザーは今すぐこの機能を有効にすることをお勧めする。

IEチームを再構成
 さらに,Microsoftは最近になって,IEチームを再編して将来のリリース計画を修正したことを認めた。Windows XP Service Pack 2(SP2)に搭載する予定の新しいIEに取り組むため,死に掛かっているIEチームを「再構成」した。そして,これまでほとんど更新しなかったそのWebブラウザの次期版向けの機能を,同チームが現在活発に検討していることを明らかにした。

 最近Longhornチームから将来のIEの開発担当トップになったばかりのDave Massy氏は,「現在の段階では,IEチームが存在を続け,検討を繰り返すよりほかには追加すべきことはあまりない。私はテクニカル・エバンジェリストとしてLonghornの仕事をするのが本当に楽しかったし,AvalonとLonghornがもたらす能力には本当にすごく感動した。今回は製品チームでの作業に戻るよい時期だった」と語った。

 正直に言ってMicrosoftはやるべきことをたくさん抱えている。IEはバグばっかりだし安全ではないし,Windowsを攻撃してやろうと思う連中がまず狙うのが明白な標的になっている。

(Paul Thurrott)