米国 Microsoft の Internet Explorer Web ブラウザで新たなゼロデイ脆弱性が公表され、数百万人がリスクにさらされていることが明らかになった。

Internet Explorer に新たなゼロデイ脆弱性 ― ZDI が公表に踏み切った理由とは?
通常、ゼロデイ脆弱性は、その脆弱性を突いた攻撃が確認されたとき、セキュリティリサーチャーによって公表される。だが今回の脆弱性は、Hewlett-Packard(HP)によって公表された。HP は Microsoft に対し、このゼロデイ脆弱性を180日前に報告したが、Microsoft は未だ何の対応も取っていないという。

問題となっている脆弱性は、「CVE-2014-1770」。HP は脆弱性について次のように説明している。

「この脆弱性により、リモートアタッカーは Microsoft Internet Explorer で任意のコードを実行可能になる。脆弱性が悪用されるには、利用者が悪意のあるサイトを訪れたり、不正なファイルを開く必要がある」

HP の Zero Day Initiative(ZDI)でマネージャを務める Brian Gorenc 氏は eWeek に対し、この脆弱性は Windows XP と Windows 7 上で動作する Internet Explorer 8 に影響を与えると述べた。

だが ZDI はなぜ、脆弱性の公表に踏み切ったのだろうか? 脆弱性の存在が公表されれば、アタッカーはそれを突いた攻撃を仕掛けることが可能になり、利用者のリスクはより高まる。

私は Gorenc 氏に対し、Microsoft がパッチを適用する前に脆弱性について公表した理由について尋ねた。Gorenc 氏によれば、公開は ZDI の公開ポリシーに基づいたものだという。

「『CVE-2014-1770』は、HP ZDI の公開ポリシー違反によりゼロデイアドバイザリとして公開された初めての IE 脆弱性だ」

以前の HP ZDI 公開ポリシーでは、ZDI がベンダーに脆弱性を報告後、ベンダーがパッチをリリースするまで、180日の猶予期間を設定していた。180日が経過した後、HP はベンダーに対し一般に公表すると警告。その後、公表に踏み切る。

だが3月1日、HP はこの公開ポリシーを変更。猶予期間を120日に短縮した。

Microsoft は、「CVE-2014-1770」脆弱性の存在を否定していたわけではない。だが、重要視もしていない。Microsoft は eWeek に対し、次のように説明した。

「Microsft は、IE 8 に関わる問題が一般に公表されることを認識している。だが、この脆弱性を悪用した顧客に対する攻撃は、現時点では確認されていない。Microsft はこの件への対応に継続的に取り組んでおり、顧客を保護するためのパッチが用意出来次第、リリースする予定だ」

Microsoft は、利用者が最新の OS にアップグレードし、最新バージョンの Internet Explorer をインストールすれば、より強力な保護を受けられるとも述べている。

「CVE-2014-1770」脆弱性を突いた攻撃が確認されていないことについては、HP も同意した。だが、だからといってリスクが存在していないわけではない。HP の Gorenc 氏は次のように述べる。

「アドバイザリのリリース時点で、ZDI は脆弱性を突いた攻撃を確認してはいない。だがパッチが適用されるまで、この脆弱性が Internet Explorer に存在し続けるのは事実だ。この脆弱性が突かれたことが、過去になかったと証明することもできない」

HP は、「CVE-2014-1770」以外にも199件の脆弱性をペンディングしているという。ベンダーがパッチをリリースしなければ、これらの脆弱性もやがて一般公開されることになるだろう。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。