Microsoft(マイクロソフト)は、IE(Internet Explorer)に影響を与えるセキュリティ上の欠陥が、現在ハッカーによって悪用されているいることを認めたが、修正する緊急の計画はないという。
米国国土安全保障省の1部門で、大きなセキュリティ欠陥の報告を担当しているUS-CERTは、深夜のツイートで、そのバグについて詳細に説明しているセキュリティ諮問機関へのリンクを共有し、「野放しにされ、悪用されている」と述べた。
Microsoftは、現在サポートしているすべてのバージョンのWindowsが、この脆弱性の影響を受けることを明らかにした。そこには、今週以降セキュリティ更新プログラムを受け取らなくなるWindows 7も含まれる。
問題の脆弱性は、IEのメモリの扱い方に潜んでいる。攻撃者は、この欠陥を利用して、対象のコンピューターで悪意のあるコードをリモートから実行することができる。たとえば、ユーザーが検索したり、電子メールで送られてきたリンクを開こうとする際に、騙して悪意のあるウェブサイトを開かせたりする。
この脆弱性は、Firefoxブラウザーの開発元、Mozillaが先週の始めに公開したものと同様のものと考えられている。MicrosoftもMozillaも、この実際に攻撃にさらされている欠陥を発見したのは、中国に本拠を置くセキュリティ研究チーム、Qihoo 360だと認めている。ただしQihoo 360は、週の初めにInternet Explorerの欠陥に関するツイートを削除したと伝えられている。
Qihooも、Microsoftも、Mozillaも、攻撃者がそのバグをどのように悪用しているのか、攻撃者は誰なのか、誰が標的にされているのかなど、何も述べていない。一方、米国政府のサイバーセキュリティの諮問機関は、現状の悪用に関する警告を発行した。
MicrosoftはTechCrunchに対して、「限定的な標的型攻撃を認識していて、修正に取り組んでいます」と述べたが、次回は2月11日に予定されている毎月のセキュリティ修正までにパッチをリリースする可能性は低いようだ。
Microsoftは、このバグに、共通脆弱性識別子CVE-2020-0674を割り当てたが、まだバグの具体的な詳細はリリースしていない。
TechCrunchの問い合わせに対して、Microsoftの広報担当者はコメントを返していない。
(関連記事:MozillaがFirefoxの新セキュリティバグが攻撃を受けていると報告)
[原文へ]
(翻訳:Fumihiko Shibata)