ニュース

米Microsoft、IE脆弱性に対応する修正パッチの緊急配布開始

〜「例外的に」XPユーザーにも更新プログラムを提供

 米Microsoftは1日、Internet Explorer 6以上の全バージョンに影響する深刻な脆弱性に関して、定例外セキュリティー更新プログラム提供を開始した。

 ユーザーが設定を自動更新にしていれば、Windows Update、Microsoft Updateを介して自動的に該当更新プログラムが適用されるため、特別な作業はユーザーに求められていない。

 この脆弱性に関しては4月26日に脆弱性が発見されて以来、米国、英国政府などがInternet Explorerの一時使用停止を呼びかけていた。

 注目されるのは、4月9日(日本時間)にサポートが終了したWindows XPユーザーに対しても、更新プログラムが提供されたことだ。これまでMicrosoftは「製品サポート終了に伴い、対象製品へのセキュリティ更新プログラムの提供も終了する」と何度も言明してきた。今回Microsoftは「例外」を設けたことになる。

 この決定理由について、米Microsoftトラストワーシーコンピューティング担当ゼネラルマネージャーAdrienne Hall氏は「我々はWindows XPのサポート終了後まもないことを考慮し、この例外を設けた」と説明した。また、この脆弱性発見のタイミングがWindows XPサポート終了時期と重なり、メディアによって大きく報じられたことも関係していることを示唆した。

 今回は例外的な措置であることを説明し、Windows XPユーザーに対しては、Windowsのより新しいバージョンに移行するよう重ねて要望している。新しいOSはより安全に設計されており、その上で動作する新しいInternet Explorerの安全性やパフォーマンスも向上しているからだ。

 今回の脆弱性を悪用した攻撃について、Microsoftでは「Windows XPを含め、本脆弱性を悪用する攻撃が広まっている状況ではありません」と説明。セキュリティ企業Kasperskyでも、「セキュリティチームたちは、これが広まっている様子を見ておらず、我々のいかなる顧客システムに対しても使用されたことを発見できていない」とおおむねMicrosoftの見解に同意している。

 同時にKasperskyでは、「ひとたび更新プログラムおよびソースコードが解析されれば、待ち構えている大規模サイバー犯罪ネットワークへ供給が始まるだろう」と指摘。修正プログラム配布は犯罪者たちとの新たな戦いの始まりでもあることを強調した。脆弱性を発見した米Fireeye Research Labsでも、犯罪者たちのターゲットはこれまでの防衛、金融産業から政府、エネルギー関連産業に拡大してきていると指摘している。

(青木 大我 taiga@scientist.com)