IEの脆弱性をねらう攻撃コードがより強力に
当初よりも攻撃の精度が向上、セキュリティ専門家は注意を呼びかけオープンソースのセキュリティ検証フレームワーク「Metasploit」を開発しているハッカーらが、Internet Explorerに対する攻撃コードを進化させ、その有効性を高めようとしているようだ。
IEのバグは、11月20日にセキュリティ関連の話題を扱うメーリング・リスト「Bugtraq」で明らかにされた。それ以来、セキュリティ専門家らは、この脆弱性への懸念を募らせていたが、最初に公になったデモンストレーション用のコードはあまり精度が高くなく、実際の攻撃に悪用された形跡も見られなかった。
ところが11月25日には、Symantecの上級リサーチ・マネージャーを務めるベン・グリーンバウム(Ben Greenbaum)氏が「11月24日夜にリリースされた攻撃コードは、当初のものより有効性が高まっている」と指摘した。ただし、25日朝の時点では、このコードが攻撃に使われたという報告はSymantecにも寄せられていない。
セキュリティ専門家によれば、こうした攻撃コードは、ドライブ・バイ・アタックという攻撃手法に用いられるのだという。ドライブ・バイ・アタックは、ユーザーをだまして悪質なコードを含むWebサイトへ誘導し、ブラウザの脆弱性を介して感染を広げていく攻撃テクニックだ。サイバー犯罪者がハッキングしたWebサイトにこの種のコードを埋め込み、攻撃範囲を拡大させていくケースも確認されている。
Microsoftは11月23日、当該の脆弱性に関するセキュリティ勧告を発し、被害を防ぐための一時的な回避策を提案した。この脆弱性は、IE 6および7に関するもので、最新のIE 8には影響はないという。
IE 8が影響を受けないのは、特定のCSS(Cascading Style Sheet)オブジェクトを解釈する方法の違いに関係がある。そのため、IE 6/7のユーザーが攻撃を回避するには、アップグレードするかJavaScriptを無効化することで対処できる。
グリーンバウム氏によれば、Metasploitのチームは、2人の有名なセキュリティ研究者が考案したテクニックを応用して、攻撃コードを改良したという。「最初のコードにはHeap Sprayという技術が使用されていた。これは、ショットガンで攻撃するようなもので、いっせいに大量射撃を行い、そのうちの1つでも的を射ればよいというものだった」と同氏。
一方、最新の攻撃コードは、アレクサンダー・ソティロフ(Alexander Sotirov)氏とマーク・ダウド(Marc Dowd)氏が開発した.net dlllメモリ手法を採用している。グリーンバウム氏は、「こちらのほうがHeap Spray技術よりはるかに確実だ。有効性は間違いなく増している」と注意を呼びかけている。
(Robert McMillan/IDG News Serviceサンフランシスコ支局)
