［米国］
IEの脆弱性をねらう攻撃コードがより強力に

当初よりも攻撃の精度が向上、セキュリティ専門家は注意を呼びかけ

（2009年11月26日）

　オープンソースのセキュリティ検証フレームワーク「Metasploit」を開発しているハッカーらが、Internet Explorerに対する攻撃コードを進化させ、その有効性を高めようとしているようだ。

「Metasploit」プロジェクトのWebサイト

　IEのバグは、11月20日にセキュリティ関連の話題を扱うメーリング・リスト「Bugtraq」で明らかにされた。それ以来、セキュリティ専門家らは、この脆弱性への懸念を募らせていたが、最初に公になったデモンストレーション用のコードはあまり精度が高くなく、実際の攻撃に悪用された形跡も見られなかった。

　ところが11月25日には、Symantecの上級リサーチ・マネージャーを務めるベン・グリーンバウム（Ben Greenbaum）氏が「11月24日夜にリリースされた攻撃コードは、当初のものより有効性が高まっている」と指摘した。ただし、25日朝の時点では、このコードが攻撃に使われたという報告はSymantecにも寄せられていない。

　セキュリティ専門家によれば、こうした攻撃コードは、ドライブ・バイ・アタックという攻撃手法に用いられるのだという。ドライブ・バイ・アタックは、ユーザーをだまして悪質なコードを含むWebサイトへ誘導し、ブラウザの脆弱性を介して感染を広げていく攻撃テクニックだ。サイバー犯罪者がハッキングしたWebサイトにこの種のコードを埋め込み、攻撃範囲を拡大させていくケースも確認されている。

　Microsoftは11月23日、当該の脆弱性に関するセキュリティ勧告を発し、被害を防ぐための一時的な回避策を提案した。この脆弱性は、IE 6および7に関するもので、最新のIE 8には影響はないという。

　IE 8が影響を受けないのは、特定のCSS（Cascading Style Sheet）オブジェクトを解釈する方法の違いに関係がある。そのため、IE 6/7のユーザーが攻撃を回避するには、アップグレードするかJavaScriptを無効化することで対処できる。

　グリーンバウム氏によれば、Metasploitのチームは、2人の有名なセキュリティ研究者が考案したテクニックを応用して、攻撃コードを改良したという。「最初のコードにはHeap Sprayという技術が使用されていた。これは、ショットガンで攻撃するようなもので、いっせいに大量射撃を行い、そのうちの1つでも的を射ればよいというものだった」と同氏。

　一方、最新の攻撃コードは、アレクサンダー・ソティロフ（Alexander Sotirov）氏とマーク・ダウド（Marc Dowd）氏が開発した.net dlllメモリ手法を採用している。グリーンバウム氏は、「こちらのほうがHeap Spray技術よりはるかに確実だ。有効性は間違いなく増している」と注意を呼びかけている。

(Robert McMillan／IDG News Serviceサンフランシスコ支局)