Microsoft、Google への攻撃に IE の未対応脆弱性が使われたと確認

Google の中国事業問題で、同社とおそらくその他20社以上を狙った攻撃の存在が公になり、この攻撃が人気 Web ブラウザ『Internet Explorer』(IE) の多くのバージョンに存在する未対応の脆弱性を利用したものだとの指摘が出ていた。そして Microsoft は14日、この指摘を認めた。

Microsoft は同日セキュリティ勧告を公開し、これまで知られていなかった IE の脆弱性について顧客に警告を発した。同勧告では回避策を提示しているが、基本的には IE のセキュリティを最大限高めるよう促す内容だ。

同社のセキュリティ対応組織 Microsoft Security Response Center の Blog 記事には、次のような記述がある。「われわれの調査に基づき、Google とおそらくその他約20社のネットワークを狙った高度な攻撃が用いた手段の1つは、Internet Explorer だと判断した」

当初この件を指摘したのは、セキュリティ製品ベンダーの McAfee だった。今回、同社 CTO の George Kurtz 氏は自社の公式 Blog で、Google に対する攻撃の一部が IE に存在する未知の新しい脆弱性を突いたものだと解明し、Microsoft に報告したと述べている。

Microsoft のセキュリティ勧告では、今回の複数の攻撃の一部が悪用している脆弱性が、『Windows 2000 Service Pack 4 (SP4)』と『IE 5.01』の組み合わせを除き、サポート対象のあらゆる IE と Windows の組み合わせで問題になると認めた。

具体的には、Windows 2000 SP4 と『IE 6 SP1』の組み合わせのほか、『Windows XP』『Windows Server 2003』『同 2008』『同 2008 R2』『Windows Vista』『Windows 7』と『IE 6』『IE 7』『IE 8』の組み合わせに影響することを確認したという。対象となる OS は32ビット版だけでなく、64ビット版でも影響を受ける。

Microsoft の Blog 記事によれば、「われわれは Google およびその他の企業だけでなく、当局や業界パートナーとも協力している」という。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール