Microsoft、先週の IIS 攻撃に関連する修正プログラムを公開

この記事のURLhttp://japan.internet.com/webtech/20040703/11.html

Microsoft (NASDAQ:MSFT) は2日、『IIS』サーバーを攻撃してサイトを改竄し、『Internet Explorer』(IE) でアクセスすると悪質ファイルをダウンロードしてしまう『Download.Ject』問題について、ユーザー側の影響を回避するため、緊急のセキュリティ修正プログラムを公開した。

Microsoft は、今回の修正プログラムが Download.Ject の攻撃に対する「システムの防御性を改善」し、現在直面している既知の脅威から、顧客を守る事ができると述べている。対象システムは、『Windows XP』『Windows Server 2003』『Windows 2000』だ。ここでいう修正プログラムとは OS の設定を変更し、今回の問題で、改竄を受けた IIS 運用サイトによって、攻撃者が悪質ファイルをダウンロードさせるために用いた IE の脆弱性の悪用を防ぐものだ。

警察当局が Microsoft と協力して、IIS 攻撃に関与していた Web サイトを閉鎖したため、先週発生した IIS 攻撃そのものは一応終息した。しかしセキュリティ専門筋からは、かねてより明らかになっており、今回の問題で改めて大きく表面化した IE の脆弱性は未解決で、なおも新たな攻撃が発生する恐れがあると警告する声が上がっている。

また、米国セキュリティ対策機関の US-CERT は、IE には技術上の重大な脆弱性が複数存在するとして、IE を用いた Web サイトアクセスに警鐘を鳴らした。

Microsoft は2日、問題の沈静化を図るため、同社の更新配布サイト『Windows Update』で、セキュリティ設定の変更を行なう修正プログラムを配布すると発表し、同時に公開を始めた。自動アップデート機能を有効にしていれば、自動的にダウンロードできる。同社は、セキュリティ設定の変更を直ちに実施するよう勧めている。

Microsoft はまた、数週間のうちに IE に対する一連の修正プログラムを公開する (おそらく7月の月例セキュリティ情報公開) と述べており、今回のセキュリティ設定変更プログラムの配布は、当座の回避策といえる。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。