マイクロソフト、IEの脆弱性修正パッチを緊急公開へ
グーグルへの攻撃に使われた脆弱性に対応
米国Microsoftは1月19日、米国Googleなどに対するサイバー攻撃に使用されたとみられる「Internet Explorer(IE)」の脆弱性に対処するため、緊急のセキュリティ・パッチを臨時に公開する方針を明らかにした。ただし、パッチの公開日に関する発表は、1月20日に持ち越されている。
MicrosoftでTrustworthy Computing Security(信頼できるコンピューティング・セキュリティ)の取り組みを担当するジョージ・スタタクポーラス(George Stathakopoulos)氏は、Microsoft Security Response Center(MSRC)の公式ブログにおいて、次のように説明している。
「今回の問題に対する注目度の高さをはじめ、ユーザーの(対策に関する)不安、(脆弱性を悪用した攻撃といった)脅威が高まりつつある状況などを考慮し、同脆弱性を修正するパッチを臨時で公開することにした。修正パッチが顧客にもたらす影響を考えると、これは重大な決定だ。だがわれわれは定例外パッチを公開するのが適切な判断だと確信している」
米国nCircle Network Securityのセキュリティ担当ディレクター、アンドリュー・ストームズ(Andrew Storms)氏は、「これだけ騒ぎが大きくなっていることを考えると、Microsoftが修正パッチを緊急にリリースすることは不可避な判断だ」と指摘している。同氏は先週、2月9日に公開予定の月例パッチを待たずに、Microsoftが臨時の修正パッチを公開する可能性を指摘していた。
今回問題となっているIEの脆弱性は、先月中国からGoogleのネットワークに対して仕掛けられたサイバー攻撃との関連が明らかになり、大きな注目を集めていたものである。
これまでMicrosoftはこの脆弱性を認めたうえで、当面の対処法として、DEP(データ実行防止)機能を有効にするよう奨励してきた。しかし、セキュリティ研究者らは、「DEPを有効にするだけでは不十分だ」と警告していた。
Microsoftのスタタクポーラス氏は19日の時点でも、この脆弱性はさほど深刻ではないとのスタンスを貫き、「攻撃の範囲はごく一部に限られており、これまでのところ成功しているのは、IE 6をねらったものだけだ」とコメントしている。しかし、同脆弱性を突いたWebベースの攻撃が既に発生しているとの第三者からの報告について、同氏はコメントを避けている。
Microsoftが月例のセキュリティ更新パッチとは別に緊急のセキュリティ・パッチを公開するのは珍しいことだ。最近では、2009年7月にIEの脆弱性を修正するための緊急パッチを公開している。ただしこの時は、その数時間後に開催されるセキュリティ・カンファレンスで深刻な脆弱性の問題が取り上げられることになっていたのを受けての措置だった。
(Gregg Keizer/Computerworld米国版)
