『IE』の未対応脆弱性を突く道具立て、早くも整う

Microsoft が9日に勧告を出した未対応の脆弱性だが、セキュリティ ホールに目ざとい人物がネットからヒントを集め、悪用も可能な既製攻撃モジュールを仕立てるまで、長い時間はかからなかった。

Microsoft は3月の月例更新でセキュリティ勧告を公開した。『Internet Explorer 6』(IE 6) および『Internet Explorer 7』(IE 7) で最近見つかった脆弱性が、システムの完全な乗っ取りを許しかねないとして警告する内容だ。

同勧告のなかで、Microsoft は「標的型攻撃」の存在を確認済みとしていた。

そして10日になり、スクリーン名を Trancer と名乗る人物が既存の攻撃を分析し、脆弱性検証ツール『Metasploit Framework』用のモジュールを作成した。同モジュールにより、強い悪意を持つ人間が深刻な攻撃を仕掛ける上で、手間が大幅に減る。

Metasploit は、セキュリティ システムの脆弱性検証を目的としたオープンソースのプロジェクトだ。しかし一部のクラッカーには、最新の脆弱性を素早く悪用する手段として、同ツールを用いる向きもある。

Microsoft は、IE 6 および IE 7 のユーザーに対し、セキュリティ ゾーンの設定を「高」にするか、または該当の脆弱性が影響しない『Internet Explorer 8』(IE 8) にアップグレードするよう推奨している。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール