is702
ニュース

Internet Explorerに未修正の脆弱性、攻撃により情報窃取される恐れあり

2019/05/13

トレンドマイクロは5月9日、公式ブログで「Internet Explorerのゼロデイ脆弱性を解析、XXE攻撃によりファイルやシステム情報を窃取される恐れ」と題する記事を公開しました。セキュリティリサーチャのJohn Page氏が2019年4月中旬に公表した、Internet Explorerの脆弱性について、詳細に解説しています。

この脆弱性は、不正なXMLファイルを利用して、ローカルファイルやWebサーバ上のファイルにアクセスする「XML External Entity(XXE)インジェクション」という手法を可能にするものでした。具体的には、不適切に制限されたXML外部実体参照(CWE-611)を持つXMLパーサを利用することで機能します。攻撃者がこの脆弱性を利用した場合、機密情報の漏えいやローカルファイルの窃取に遭う可能性があります。

Page氏はWindows 7、Windows 10、そしてWindows Server 2012 R2に最新の修正プログラムを適用した状態で「IE 11」の最新バージョンでこの脆弱性を検証。ユーザが特別に細工されたMHTMLファイル(拡張子:mht)をIEで開き、「新しいタブを複製(Ctrl+K)」「ページを印刷する(Ctrl+P)」等の操作を行った場合、攻撃が成立することを確認しています。

この攻撃では、まずユーザが不正なMHTMLファイルをダウンロードし、そのファイルを開く必要があります。そのため攻撃者は、ソーシャルエンジニアリングの手法を利用したスパムメールの添付ファイルやフィッシングのような外部からの攻撃手段を利用し、ユーザを巧みに誘導します。

マイクロソフトは「Internet Explorer単独では、このような不正活動は成立しません。(中略)インターネットから信頼できないファイルをダウンロードして開かないように気を付ける等、安全にコンピュータを使用する習慣を身に着けるようにしてください」とコメントしています。一方で、5月9日時点で、この脆弱性に対する修正プログラムはマイクロソフトから公開されていません。
このような脅威を防ぐには、利用者は不用意に不審なリンクをクリックしたり、ファイルをダウンロードして開いたりすることを避けてください。

「PC・ネットワーク」「Web」「システム」関連のエーカビジネスコラム&ブログ。
「PC・ネットワーク」「Web」「システム」関連のエーカビジネスコラム&ブログ。