Internet Explorer 10(IE 10)の未修正の脆弱性を突く攻撃コードが、14日にインターネット上で一般公開された。先月から今月にかけ、このコードを悪用した攻撃が実際に行われているといい、セキュリティ機関や企業が注意を呼びかけている。
悪用されている脆弱性は、IEのレンダリングエンジンMSHTMLライブラリーに存在する、解放したメモリーを使用してしまう問題(CVE-2014-0322)。この脆弱性は、任意のコードが実行される可能性があり、悪用されると細工されたWebページを閲覧するだけでウイルスに感染し、パソコンを乗っ取られてしまうおそれがある。
現在確認されている攻撃は、IE 10のみを標的としたものだが、脆弱性自体はIE 9にも影響するとの報告もある。IE 9は、Windows Vista標準搭載のIE 7および、Windows 7標準搭載のIE 8の後継となるブラウザーで、両OS用に提供されたバージョンである。IE 10は、Windows 8/RTに標準搭載されており、Windows 7用も提供されている。
使用中のIEのバージョンは、歯車アイコンまたはヘルプメニュー(メニュー非表示の場合は[Alt]キーを押すと表示される)の「バージョン情報」で確認できる。
■攻撃成立条件と回避策
現行の攻撃では、このほかにAdobe Flash Player(Windows 8/RTはIEに同梱)とIEのアクティブスクリプトを使用しており、マイクロソフトのEMET(Enhanced Mitigation Experience Toolkit)がインストールされている場合には、攻撃を中止するようプログラムされている。すなわち、攻撃が行われるのは、以下の条件が全て揃った場合だ。
<攻撃条件> (1) IE 10を使用している (2) Adobe Flash Playerがインストールされている (3) IEのアクティブスクリプトが有効 (4) EMETがインストールされていない
これら条件のうち1つでも満たさないようにすれば、現行の攻撃を回避することができる。IE 11(Windows 8/RT/7用が提供)にアップグレードするか他のブラウザーに変更することで、(1)の条件を排除できる。一部で同じ脆弱性の影響を受けるとされているIE 9についても、同様の措置をとることが望ましい。これは、修正パッチが提供されていない現状で、脆弱性そのものをなくす根本的な対策となる。
Flash Playerをアンインストールするか、IEのインターネットオプションで「インターネット」「ローカル」「イントラネット」ゾーンのセキュリティ設定を「高」にし、プラグインの実行を禁止すると(2)の条件を排除できる。セキュリティ設定を「高」にするとスクリプトも無効になるので、(3)の条件も同時に排除される。
今回の脆弱性に限らずゼロデイ攻撃に使われる脆弱性の多くは、セキュリティ設定が「高」の状態では悪用できなくなってしまう。緊急時の一時的な回避策として、役に立つことが多いのだ。ただし「高」にすると、問題のないWebサイトの閲覧に支障をきたしてしまうことがある。そのような場合には、そのWebサイトが安全だと確信できるのであれば、スクリプトやプラグインを実行できる「信頼済みサイト」に追加する。
(4)のEMETは、マイクロソフトが無料で配布している脆弱性の悪用を緩和するツールのことだ。このツールをインストールし、問題のソフトウェアに適用(そのソフトウェアを監視させる)ことにより、そのソフトウェアの脆弱性を悪用することが難しくなる。脆弱性攻撃を受けても、ウイルス感染を阻止できることが多いのだ。
EMETが今回の脆弱性を直接緩和できるのかどうかは確認していないが、現行の攻撃コードは、EMETがインストールされていない環境を前提としており、適用の有無に関係なくEMETがインストールされているだけで攻撃を中止する。
(2014/02/18 ネットセキュリティニュース)
【関連URL】 ・Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性(JVN) http://jvn.jp/vu/JVNVU96727848/
・Internet Explorer 9、10を標的とする新たなゼロデイ攻撃を確認(Trend Micro Security Blog) http://blog.trendmicro.co.jp/archives/8592
・水飲み場型攻撃で検出された Internet Explorer 10 の新しいゼロデイ脆弱性(シマンテック) http://www.symantec.com/connect/ja/blogs/internet-explorer-10-0
・Internet Explorer 10 にゼロデイ脆弱性の可能性(シマンテック) http://www.symantec.com/connect/ja/blogs/internet-explorer-10
・Operation SnowMan: DeputyDog Actor Compromises US Veterans of Foreign Wars Website[英文](FireEye) http://www.fireeye.com/blog/uncategorized/2014/02/operation-snowman-deputydog-actor-compromises-us-veterans-of-foreign-wars-website.html
・New IE Zero-Day Found in Watering Hole Attack[英文](FireEye) http://www.fireeye.com/blog/technical/cyber-exploits/2014/02/new-ie-zero-day-found-in-watering-hole-attack-2.html
・MSIE 0-day Exploit CVE-2014-0322 - Possibly Targeting French Aerospace Association[英文](Websense) http://community.websense.com/blogs/securitylabs/archive/2014/02/13/msie-0-day-exploit-cve-2014-0322-possibly-targeting-french-aerospace-organization.aspx
・EMET(Enhanced Mitigation Experience Toolkit)(マイクロソフト) https://support.microsoft.com/kb/2458544