• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

IE6とIE7にパッチ未公開の危険な脆弱性、攻撃コードが既に出現

Webアクセスで被害の恐れ、IE8への移行やスクリプトの無効化が回避策

勝村 幸博=日経パソコン 2009/11/24 日経パソコン

 米マイクロソフトなどは2009年11月23日、Webブラウザー「Internet Explorer 6および7(IE6とIE7)」に新たな脆弱(ぜいじゃく)性が見つかったことを明らかにした。細工が施されたWebページにアクセスするだけで、ウイルス(悪質なプログラム)に感染する恐れなどがある。実際、脆弱性を突くコード(プログラム)が公開されている。

 セキュリティ企業各社の情報によれば、同年11月20日、セキュリティ関連のメーリングリストに、IE7の脆弱性を突くコードが投稿されたという。各社が検証したところ、そのコードが突くのは、セキュリティ更新プログラム(修正パッチ)が公開されていない脆弱性であることが判明。マイクロソフトも、11月23日付けで今回の脆弱性を警告する情報を公開した。

 同社の情報によれば、影響を受けるのはIE6およびIE7。これらのIEには、特定のデータを適切にチェックしない脆弱性が見つかった。このため、細工が施されたWebページにアクセスするだけで、ウイルスなどを勝手に実行される恐れがある。IE5.01やIE8は影響を受けない。

 米シマンテックなどによれば、公開されている攻撃コードは安定していないものの、近いうちに、安定したコードが公開される可能性が高いと警告。国内のセキュリティ企業であるフォティーンフォティ技術研究所では、投稿されている攻撃コードに手を入れると、日本語環境でも動作することを確認。「安定的に攻撃可能」な脆弱性であるとして、注意を呼びかけている。マイクロソフトでは、今回の脆弱性を悪用した実際の攻撃は報告されていないとする。

 現時点では、修正パッチは未公開。回避策の一つは、IEのアップグレード。IE8にアップグレードすれば、今回の脆弱性の影響を受けなくなる。

 IEの設定変更も回避策として有効。今回の脆弱性の悪用にはJavaScriptが使われる。このためIEのセキュリティ設定を変更して、JavaScript(アクティブスクリプト)を無効にすれば、脆弱性を悪用されなくなる。そのほか、「セキュリティ対策ソフトを適切に利用する」や「信頼できるサイトのみにアクセスする」なども回避策になる。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る