piyolog Mk-II 第1回「4月末のInternet Explorerの脆弱性騒動から見えてきたコト」

今回の脆弱性の影響を回避するために、Internet Explorerの使用禁止の案内を出している組織を見かけました。案内文をいくつか見てみましたが（中略）内容が十分とは言えないものもありました。

特集特集

2014.6.10 Tue 8:30

先月OpenSSLの脆弱性について取り上げたのですが、連休は何とか休めそうだと落ち着きかけた矢先に、Struts、そしてInternet Explorerと立て続けに脆弱性に関連するトピックがセキュリティ界隈、そして世間を賑わせました。

今回は4月末に起きたInternet Explorerの脆弱性に関連する一連の動きについて振り返りつつ、この騒動から見えてきたコトについて考えてみたいと思います。

●IEの脆弱性を悪用する攻撃、今回は電子メールのリンクから

2014年4月27日（日本時間）にMicrosoftとFireEyeがInternet Explorerに当時未修正の脆弱性（CVE-2014-1776）が存在し、さらにこの脆弱性を悪用する動きを確認したと情報を公開しました。それから5日後の5月2日にMicrosoftはこの脆弱性を修正する更新プログラムMS14-021を緊急リリースしました。更新プログラムをインストールすることで脆弱性が修正され、影響を受けることは無くなります。

セキュリティベンダが公開した情報によれば、今回の攻撃は対象に電子メールを送り、文中に記載されているURLをクリックさせることでマルウェアに感染させる手口が取られていました。攻撃開始時期は明らかとはなっていませんが、4月25日頃にはこの電子メールが確認されています。ただし、確認されているのはいずれも海外です。

意外だったのはMicrosoftのWindows XPに対する措置です。Windows XPは4月9日にサポート終了を迎えており、今回の修正もXP向けには行われないものと思われていました…

※本記事は有料版メールマガジンScanに全文を掲載します

《piyokango》