［世界］
マイクロソフトが脆弱性を公表した直後に攻撃プログラムが登場

セキュリティ・ベンダーは新たな攻撃ツールを警戒

（2007年06月14日）

　米国マイクロソフトは6月12日、定例のセキュリティ修正パッチを6件公開した。今回公開されたのは、最大の深刻度を示す「緊急」が4件、その次に深刻な「重要」が1件、以下「警告」が1件となっている。これらのパッチで修正される脆弱性は15件に及ぶ。

　ところが、マイクロソフトがセキュリティ修正パッチを公開してから数時間後、同パッチの配布にあたり公表された2件の脆弱性を攻撃するプログラムが、複数の研究者によってBugtraqのWebサイト、およびFull Disclosureのメーリング・リストに掲載された。

　セキュリティ研究家のA・ミカリッツィ氏は、「Internet Explorer（IE）7/6.0/5.01」で利用するActiveXコントロール機能の脆弱性を悪用し、Windows XP/2000を対象とした2種の攻撃プログラムを公開した。

　また、ミカリッツィ氏と共同でOSの脆弱性を研究している米国カーネギーメロン大学ソフトウェア・エンジニアリング研究所のウィル・ドーマン氏は、IE 6の脆弱性を悪用した別の攻撃プログラムを公開した。これは、IE 6上でバッファ・オーバーフローを発生させてPCの操作を乗っ取り、悪質なコードをリモート実行できるようにするプログラムだ。

　ただし、これらの攻撃プログラムは、今回公開されたセキュリティ修正パッチ（MS07-033）を適用していれば、実行される心配はない。

　さらに6月13日には、ほかの研究者がWindows Schannel（セキュリティで保護されたチャネル）の脆弱性を悪用した攻撃プログラムを公開した。

　これは、ヒープ・オーバーフローを発生させ、アプリケーションをクラッシュさせたりシステムを再起動させたりするプログラムである。ただしこのプログラムでは、PCの操作を乗っ取るコードを実行することはできない。

　なお、この攻撃プログラムも、今回公開されたセキュリティ修正パッチ（MS07-031）を適用していれば、実行される心配はない。

　攻撃プログラムが複数のセキュリティ研究家から公開されたことを受け、米国シマンテックは、近くハッカーらがこれらの情報を基に、攻撃プログラムを作成するだろうと警戒している。

　同社は、「ハッカーが今回公開された脆弱性を悪用した攻撃プログラムをほかの攻撃プログラムと組み合わせ、新たな『攻撃ツール・キット』を作成するのは時間の問題だ」とコメントしている。

　シマンテックでは、インターネット上のセキュリティ状況を総合的に示す指標「ThreatCon」を、「Level2」（最高：Level4）に設定している。

　マイクロソフトの定例セキュリティ修正パッチは、「Windows Update」の自動更新を「有効」にしていれば自動的にダウンロードされる（Windows XP Service Pack 2以降）。また、手動でインストールする場合には、同社のWebサイトからセキュリティ修正パッチをダウンロードできる。

(グレッグ・カイザー／Computerworld オンライン米国版)