Internet Explorerに存在するセキュリティホール(=セキュリティ上のプログラムの欠陥)の脆弱性を悪用した攻撃が確認された問題で、独立法人・情報処理推進機構(IPA)やJPCERTコーディネーションセンターなど国内のセキュリティ機関は1月15日、その回避策などを緊急情報として公開した。
各セキュリティ機関やMicrosoftのアドバイザリーによれば、その脆弱性はInternet Explorerで無効なポインターを参照することに起因する。
オブジェクトが削除された後でも、特定の状況で無効なポインターにアクセスできてしまう可能性があり、細工されたHTMLにアクセスするとリモートでコードを実行されたり、“サービス停止(DoS)状態を誘発”されたりする恐れがある(=DDoS攻撃、distributed denial of service :標的となる
に対して、大量のパケットを送りつけるなど、ネットワーク上から大きな負荷を加え、他のに対して提供しているサービスを停止させたり、利用に支障を来すようにする攻撃の一種。攻撃元が単独である場合をDoS攻撃と呼ぶのに対し、複数のサーバーやから同時に攻撃することをDDoS攻撃と呼ぶ。分散型サービス拒否攻撃、分散サービス停止攻撃などとも呼ばれている。
例えば、攻撃者が事前にセキュリティレベルが低い複数のWebサーバーに侵入して攻撃用のプログラムを仕掛けておき、ある特定の日時になったら、一斉に攻撃対象のWebサイトにパケットを送りつけるようにする。最近では、コンピュータ・ウイルスがDDoS攻撃の機能を持ち、感染したンやサーバーから一斉にパケットを送りつけてしまうこともある)。
このほどGoogleなど米企業数十社が被害に遭った攻撃では、攻撃手法の一部がInternet Explorer 6を標的にしていたことが判明。
Microsoftの調査で、Internet Explorer 5.01を除くInternet Explorer 6以上の全バージョンが影響を受けることが分かった。なお、Internet Explorer 6以外のバージョンを狙った攻撃は今のところ確認されていない。
独立法人・情報処理推進機構(IPA)やMicrosoftでは回避策として、「DEP(データ実行防止機能)」の利用、インターネットおよびイントラネットゾーンのセキュリティレベルの引き上げ、アクティブスクリプトの実行設定の変更を推奨している。
DEP機能はInternet Explorer 6およびInternet Explorer 7ではデフォルトで無効に設定されており、
「ツール」→「インターネット オプション」→「詳細設定」タブのセキュリティ項目にある「オンラインからの攻撃の緩和に役立てるため、メモリ保護を有効にする」にチェックを入れることで有効化できる。
なお、Internet Explorer 8はデフォルトで有効になっている。
インターネットおよびイントラネットゾーンのセキュリティレベルは、「ツール」→「インターネット オプション」→「セキュリティ」タブで、「このゾーンのセキュリティのレベル」にあるつまみを「高」に設定する。
アクティブスクリプトの実行設定では、同様に「ツール」→「インターネット オプション」→「セキュリティ」タブで、インターネットおよびイントラネットの「レベルのカスタマイズ」を選択。
スクリプト項目の「アクティブスクリプト」で「ダイアログを表示する」もしくは「無効にする」を指定する。
また、MicrosoftはInternet Explorer 8の「SmartScreen」機能で、同社が確認している不正サイトやマルウェア配布サイトの表示をブロックできるとして、Internet Explorer 6やInternet Explorer 7のユーザーにはInternet Explorer 8の利用を推奨している。
この脆弱性の修正パッチは月例の更新プログラムもしくは定例外としてリリースする計画だという。