ニュース

IE6~11に影響のあるゼロデイ脆弱性、すでに標的型攻撃も確認

 米Microsoftは26日、Internet Explorer(IE)6~11に影響のある脆弱性が発見されたとして、セキュリティアドバイザリ「2963983」を公開した。すでにこの脆弱性を悪用する限定的な標的型攻撃も確認されている。

 発見された脆弱性「CVE-2014-1776」は、現在サポートされているすべてのIEに影響があり、対象となるOSもサポート中のすべてのWindows(Windows 8.1/8/7/Vista、Windows Server 2012 R2/2012/2008 R2/2008/2003)となっている。また、Windows XPはサポートが終了しているため、影響を受けるOSのリストには挙げられていないが、同様の影響があることが考えられる。

 Microsoftでは、現在この問題の調査にあたっており、調査が完了次第、月例または臨時のセキュリティ更新プログラムを提供するとしている。

 セキュリティ更新プログラムを提供するまでの対策としては、脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit(EMET)」を利用することや、IE10~11の場合は拡張保護モードで64ビットプロセッサを有効にすることなどを挙げている。

 脆弱性を報告した米FireEyeによると、脆弱性自体はIE6~11に影響があるが、確認している標的型攻撃ではIE9~11をターゲットにしているという。また、攻撃はFlash Playerを利用して行われているため、IEでFlash Playerを無効にすることも攻撃の回避策として推奨している。

【追記 2014/5/2 14:00】
 Microsoftは1日、この脆弱性を修正するセキュリティ更新プログラム(パッチ)の緊急配布を開始した。すでにサポート期間が終了し、本来はもうパッチが提供されないWindows XP向けにも、今回、Microsoftは特例としてパッチを提供している。詳細は5月2日付の関連記事「米Microsoft、IE脆弱性に対応する修正パッチの緊急配布開始」を参照。

(三柳 英樹)