Microsoft、『IE』の未対応脆弱性を急きょ修正

Microsoft は17日、『Internet Explorer』(IE) に存在した未対応の脆弱性に関して、セキュリティ情報「MS08-078」を公開し、修正パッチの配布を開始した。同脆弱性については、先週から取り上げていたものだ。

しかしマルウェアの制作者たちは、同脆弱性を突く手法をカスタマイズした変種マルウェアを既に展開し始めており、今回の Microsoft の修正パッチでは、これらに対応できないおそれがある。

問題の脆弱性は、IE の XML 処理コードに根ざすもので、被害者のパソコンで攻撃者に遠隔的なコード実行を許してしまう。

同脆弱性の悪用については、13日までに感染サイトが少なくとも6000件に及んでおり、正確な数字を確定するのは難しいものの、その規模は増加し続けている模様だ。セキュリティ専門家らは、Microsoft の勧告に従って、ユーザーが修正パッチを直ちにインストールしたとしても、事態は悪化する方向に進むだろうとの見方を示している。

Microsoft のセキュリティ対応広報の責任者 Christopher Budd 氏は声明の中で、現時点で攻撃対象となっているのは『IE 7』のみだと述べ、該当の修正パッチを適用したシステムに対する攻撃は成功していないと語る。

『McAfee Avert Labs Blog』に研究者の Rahul Mohandas 氏が17日に投稿した記事によれば、マルウェア制作者たちは、様々なレベルのステルス性を持つ IE 攻撃のカスタマイズ版を既にばらまき始めているという。

Mohandas 氏によると、最も目立つ攻撃手法の1つは、攻撃者が『ActiveX』コントロールを埋め込んだ『Microsoft Word』文書を Eメールに添付し、攻撃相手に送りつけるものだという。被害者が添付ファイル (Word 文書) を開くと、埋め込んである ActiveX コントロールが動作し、感染サイトを表示させようとする。同様の手法は、セキュリティ機関 SANS Institute のセキュリティ上の脅威トップ20の2007年版にも掲載されている。

今回の脆弱性の悪用において、被害者は自動ダウンロード攻撃を受けている。すなわち、被害者が感染サイトにアクセスすると、悪質コードを気付かぬままにダウンロードしてしまう。

McAfee Labs でセキュリティ調査およびコミュニケーション担当ディレクタを務める Dave Marcus 氏は取材に対し、マルウェアの制作者たちはこの手口に新たな工夫を加えていると語った。彼らは、正当なサイトに「iframe」を埋め込み、この iframe によって、疑いを持たない被害者を悪質コードを備えたサイトにリダイレクトするという。iframe とは HTML タグの1つで、Web ページ内に別ページのコンテンツを埋め込むのに利用するものだ。