Microsoft、先週の IIS 攻撃に関連する修正プログラムを公開

Microsoft (NASDAQ:MSFT) は2日、『IIS』サーバーを攻撃してサイトを改竄し、『Internet Explorer』(IE) でアクセスすると悪質ファイルをダウンロードしてしまう『Download.Ject』問題について、ユーザー側の影響を回避するため、緊急のセキュリティ修正プログラムを公開した。

Microsoft は、今回の修正プログラムが Download.Ject の攻撃に対する「システムの防御性を改善」し、現在直面している既知の脅威から、顧客を守る事ができると述べている。対象システムは、『Windows XP』『Windows Server 2003』『Windows 2000』だ。ここでいう修正プログラムとは OS の設定を変更し、今回の問題で、改竄を受けた IIS 運用サイトによって、攻撃者が悪質ファイルをダウンロードさせるために用いた IE の脆弱性の悪用を防ぐものだ。

警察当局が Microsoft と協力して、IIS 攻撃に関与していた Web サイトを閉鎖したため、先週発生した IIS 攻撃そのものは一応終息した。しかしセキュリティ専門筋からは、かねてより明らかになっており、今回の問題で改めて大きく表面化した IE の脆弱性は未解決で、なおも新たな攻撃が発生する恐れがあると警告する声が上がっている。

また、米国セキュリティ対策機関の US-CERT は、IE には技術上の重大な脆弱性が複数存在するとして、IE を用いた Web サイトアクセスに警鐘を鳴らした。

Microsoft は2日、問題の沈静化を図るため、同社の更新配布サイト『Windows Update』で、セキュリティ設定の変更を行なう修正プログラムを配布すると発表し、同時に公開を始めた。自動アップデート機能を有効にしていれば、自動的にダウンロードできる。同社は、セキュリティ設定の変更を直ちに実施するよう勧めている。

Microsoft はまた、数週間のうちに IE に対する一連の修正プログラムを公開する (おそらく7月の月例セキュリティ情報公開) と述べており、今回のセキュリティ設定変更プログラムの配布は、当座の回避策といえる。