ここから本文です

マイクロソフト、9月の月例パッチを公開--すでに悪用されているIEの深刻なバグを修正

CNET Japan 9月15日(木)11時29分配信

 Microsoftが9月のセキュリティアップデートで94個の脆弱性を修正した。リモートコード実行のおそれがある多数の脆弱性や、これまで放置されてきた「Internet Explorer」(IE)の深刻なバグが含まれる。このIEのバグは犯罪者によって悪用されている。

 Microsoftは米国時間9月13日にリリースしたアップデートで、IEの深刻な情報漏えいの脆弱性を修正した。独立系のマルウェア研究者「Kafeine」氏によると、このバグがMicrosoftに最初に報告されたのは2015年のことだが、同社は対処しなかったという。同社がこのバグを深刻なものとみなさなかったことが理由である可能性もあるという。

 ProofpointとTrendMicroが改めてそのバグを報告し、それが犯罪者に悪用されている証拠を提示したことを受けて、今回、アップデートがリリースされた。

 このIEの脆弱性(CVE-2016-3351)は、被害者をランサムウェアに誘導する悪質な広告をオンライン広告ネットワークに蔓延させる複数の犯罪者集団によって、攻撃ツールの1つとして使われており、2014年1月から、ウェブへの自動攻撃で悪用されている。

 Kafeine氏によると、そのエクスプロイトは、セキュリティ研究者がマルウェアの検知と分析に使用するツール群を回避する機能も備えるという。エンドユーザーのシステムをウェブ経由で感染させる攻撃にも使用された。ただし、Microsoftが指摘しているように、攻撃者は被害者を騙して、攻撃サイトへのリンクをクリックさせる必要があった。

 Kafeine氏によると、何カ月、あるいは何年も放置されることもある深刻度の低いバグや低レベルの脆弱性が犯罪者に悪用されることが増えているという。

 「今回のケースでは、AdGholasという組織が、研究者やベンダーの自動システムによる検知を避ける目的のためだけにそうしたバグを利用し、大規模かつ長期の不正広告攻撃の実行中も検知を回避し続けた」(Kafeine氏)

 9月のアップデートのセキュリティ情報は14件で、10件はリモートコード実行の脆弱性、2件は特権昇格の脆弱性、2件は情報漏えいの脆弱性だった。

 

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

最終更新:9月15日(木)11時29分

CNET Japan

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]