IEを使わないよう政府機関が呼びかけ-Google中国攻撃に使われた脆弱性の波紋


 Internet Explorer(IE)の使用を中止し、代替ブラウザを使うよう推奨する――。Googleへの攻撃で注目を集めたゼロデイ脆弱性は、各国政府が一斉にIEの使用を控えるよう呼びかける異例の事態を招いた。これを受け、Microsoftは緊急パッチを公開したが、出回った攻撃コードの悪用が引き続き観測されており、史上最悪のサイバー攻撃になると見る専門家もいる。IE離れが進むきっかけになるかもしれない。

 問題の脆弱性は、IEの無効なポインター参照に存在するもので、リモートからコードが実行される危険性があるという。例えば、電子メール中のリンクをクリックすると、マルウェアをホスティングするWebサイトにとび、トロイの木馬を仕掛けられるといった可能性がある。Microsoftのセキュリティアドバイザリでは、「Windows 7」「Windows Vista」「Windows XP」「Windows Server 2003」「Windows Server 2008 R2」で動作する「IE6」「IE7」「IE8」が影響を受けると報告している。

 脆弱性は、Google中国が受けた攻撃で使われたものだ。Googleは1月12日、IEの脆弱性を悪用した「Gmail」への攻撃が中国国内から行われたことを明らかにした。この攻撃では中国の反体制活動家などもターゲットになっているとして中国政府の関与もにおわせた。さらに中国市場から撤退することも示唆したため、米国政府が中国側に説明を求めるなど大きな問題になっている。

 一方、この脆弱性はGoogleだけを襲ったものではない。20社以上が被害にあったといわれており、例えばAdobe Systemsなどは攻撃にあったことをメディアに対して認めている。

 IEの脆弱性はこれまでにも頻繁に見つかり、そのたびに警告と対応策が出されてきた。それ自体は、あまり珍しいことではない。だが、今回は政府のコンピュータセキュリティ機関が非常に深刻に受け止め、別の製品を使うよう勧めるという異例の展開となっている。

 この脆弱性を突く攻撃コードがインターネット上で公開されているとMcAfeeが警告した1月15日には、ドイツ、フランス、オーストラリアの各政府系情報セキュリティ機関がWebサイトで情報を掲示し、Microsoftの回避策を参照しながら、他のWebブラウザを利用するよう市民にアドバイスした。

 例えば、オーストラリア政府のセキュリティイニシアチブ、Stay Smart Onlineは「(Mozilla Firefox、Apple Safariなど)代替のWebブラウザの利用を推奨する」と述べている。

 政府機関がここまで踏み込んだ助言をすることは珍しく、業界からも驚きの声が上がっている。例えば、セキュリティ企業のnCircleはFinancial Times紙に対し、「(政府の警告は)不適切な対応」であり、Googleの発表が生んだパニックを反映した動きだとコメントしている。同じくセキュリティ企業のQualysは「どのブラウザにも脆弱性はある」としたうえ、「IEからの移行を推奨するのではなく、(IEであれ、Firefoxであれ)最新のブラウザにアップグレードすることを推奨すべき」(Computerworldにコメント)と述べている。

 また、Sophosは企業ユーザーに対しては、逆に、ブラウザの移行に慎重になるべきだと警告している。アプリケーションの互換性リスクだけでなく、ユーザーのトレーニングなどを考慮すると大きな負担を強いる可能性があるというのが、その理由だ。

 いずれにせよ、政府推奨はブラウザユーザーにかなりの影響を与えたもようだ。Mozillaのブログによると、ドイツ政府が警告を出した日から4日間のドイツのFirefox累計ダウンロード数は、通常時よりも約30万件分多かったという。フランスでも、18日から20日の間のダウンロード数が通常数(3万8000~3万9000件)より合計で約6万件多く、オーストラリアも通常レベル(1万2500件)に約3万5000件上乗せしたダウンロード件数が出たという。「Opera」のOpera Softwareも「ドイツでのダウンロード数が2倍増となった」とComputerworldの取材に答えている。

 当のMicrosoftはこうした騒ぎを受け、1月17日付のブログで、攻撃は限定的(攻撃が成功しているのはIE 6のみで、IE 7、IE 8では確認されていない)であると説明。1月20日には、パッチを緊急公開すると発表し、翌21日(日本時間22日)にリリースした。Google攻撃が明らかになってから9日後である。

 それでも、事態はすぐには収束に向かいそうにない。すでに当初のものとは異なる攻撃コードが発生し、これを悪用した攻撃が行われているというのだ。「(今回の脆弱性に発する攻撃は)すでにメインストリームになっている」(SymantecのThe Registerへのコメント)という。これまでのところ対象はIE 6のようだが、セキュリティ専門家らの間では、IE 7とIE 8の攻撃に成功するのも時間の問題という見方が強い。

 今回の攻撃を「Operation Aurora」と名付けて早くから警告してきたMcAfeeは「ターゲットを絞りこんだ高度かつ組織的な犯罪で、感染、アクセスの隠ぺい、データの吸い上げ、さらに最悪の場合はデータの改ざんを検出されることなく行う」として、「BlasterやCode Redなどと並んでセキュリティ史に残る事件」と位置づけている。

 同社は「サイバー犯罪のテクニックの変化に合わせ、ユーザーのセキュリティ対策も変えなければならない」としている。



(岡田 陽子=Infostand)

2010/1/25/ 09:00