Microsoft、『IE』の未対応脆弱性について緊急対応へ

Microsoft は、『Internet Explorer』(IE) に存在する未対応の脆弱性について、月例更新のスケジュール外で対応する模様だ。Microsoft は同脆弱性のセキュリティ勧告を、月例更新翌日の10日に公開していた。以来、影響を受ける IE のバージョンや対処法の追加など、連日のようにセキュリティ勧告の内容を更新している。

この脆弱性の修正パッチは、17日に公開となる見通しだ。しかし、多くのユーザーが適用するまでには、多少時間がかかるだろう。

該当の脆弱性は、IE の XML 処理コードに根ざすもので、サポート対象となっている全バージョンの IE に存在する。攻撃者が同脆弱性を悪用することで、任意コード実行を許すおそれがある。すでにこの欠陥を使った攻撃が発生しており、細工を施した Web サイトに IE ユーザーがアクセスするという形の事例が主体だ。

Microsoft のセキュリティ対応広報の責任者 Christopher Budd 氏は、Eメールによる声明で次のように述べた。「現時点で、この脆弱性を悪用した攻撃は IE7 を対象にしたものだけと認識している。当社としては、できるだけ早くアップデートするよう強く勧める」

Microsoft のマルウェア対策組織 Microsoft Malware Response Center が運営する Blog サイト『Microsoft Malware Protection Center』は13日、情報開示以来、全世界でおよそ0.2％の IE ユーザーが、この脆弱性につけ込む Web サイトにアクセスしたとの記事を掲載した。

該当の記事を書いた Ziv Mador 氏と Tareq Saade 氏は、「これは微々たる割合に思えるかもしれないが、それでも多数のユーザーが影響を受けていることに変わりはない。現在、被害は拡大傾向にあり、今日受けた報告は昨日より50％以上も多かった」と記している。

また Trend Micro で最新の脅威を研究している Ivan Macalintal 氏は、感染サイトの数について、13日の段階で約6000を数え、さらに増加中との見方を示した。攻撃経路として Web サイトを使う方法は、2008年に目立って増加した手口の1つだ。Cisco Systems の年次セキュリティ レポートによると、2008年における Web ベースの脅威のうち、87％が Web サイトを用いた攻撃だったという。

なお、今回の未対応脆弱性の修正パッチは、17日午前10時 (米太平洋標準時) に『Microsoft Update』サイトを通じて公開となる予定だ。自動更新を設定しているユーザーは、手作業でダウンロードを行なう必要はない。

Microsoft は12月の月例更新において、IE 関連の脆弱性4件に対応したが、今回の脆弱性対応を積み残していた。次回の月例更新は2009年1月9日に実施する予定だ。