日本マイクロソフトは2012年9月18日、同社のWebブラウザー「Internet Explorer(IE)」に新たな脆弱性が見つかったことを明らかにした。細工が施されたWebサイトにアクセスするだけで、パソコンを乗っ取られる恐れなどがある。セキュリティ更新プログラム(パッチ)は未公開。この脆弱性を悪用したゼロディ攻撃が既に確認されているという。

 今回の脆弱性は、IEのデータ処理に関するもの。細工が施されたHTMLファイル(WebメールやHTMLメール)を開くだけで、中に仕込まれた悪質なプログラムを実行される恐れがある。

 その結果、パソコン内の情報を盗まれたり、パソコンを乗っ取られたりするなどの被害に遭う危険性がある。実際、今回の脆弱性を悪用する攻撃が確認されている。脆弱性を悪用するための攻撃コード(エクスプロイト)も公開されているという。

 影響を受けるのは、IE 6/7/8/9。IE 10は影響を受けない。

 今回の脆弱性を修正するためのセキュリティ更新プログラムは未公開。日本マイクロソフトでは、脆弱性の詳細を調査中。調査が完了次第、必要に応じてセキュリティ更新プログラムの提供といった適切な措置を講じる予定としている。

 同社では、既知の攻撃に対する回避策をいくつか公開している。これらを実施すれば、攻撃を受けても被害を受けない、あるいは被害を最小限に抑えられるとしている。

 その一つが、同社が無料で提供している「Enhanced Mitigation Experience Toolkit(EMET)」の利用。このツールを利用すれば、脆弱性を悪用された場合でも、悪質なプログラムの実行などを防げる。EMETの利用方法は、同社が公開する情報などに記載されている。

 そのほか、IEのセキュリティ設定を変更することも回避策として挙げている。具体的には、インターネットおよびローカルイントラネットセキュリテゾーンの設定を「高」に設定し、これらのゾーンでActiveX コントロールおよびアクティブスクリプトをブロックする。この実施手順についても、同社の情報に記載されている。ただし、この回避策を実施すると、Webページなどを適切に表示できない場合がある。

 以上のような回避策を実施することが難しい場合には、「信頼できないWebサイトにはアクセスしない」といった基本的な対策で身を守るしかない。セキュリティ更新プログラムが公開されるまでは、IE以外のWebブラウザーを使うことも対策になるだろう。