http://www.computerworld.jp/topics/563/203657/

 セキュリティ専門家が重大な脅威と考えているWindowsの未パッチの脆弱性が、サイバー犯罪者によって悪用されている。

 米国Microsoftは6月12日、月例のセキュリティ更新プログラム公開と併せて、新規セキュリティ・アドバイザリ(2719615)を公開し、
Microsoft XMLコアサービス(MSXML)3.0、4.0、5.0、および6.0に脆弱性が存在することを明らかにした。このセキュリティ・アドバイザリ
では、この脆弱性(CVE-2012-1889)の回避策が示されているが、Microsoftはまだ修正プログラムを提供していない。この脆弱性は
「Internet Explorer」(IE)ブラウザで簡単に悪用される。

 セキュリティ・ベンダーの米国Sophosは6月19日、この脆弱性を悪用するように作られたWebページを週末に発見したと報告した。
このページは、欧州のある医療関連企業のWebサイト上にあったが、この企業は、自社サイトが乗っ取られていたことに気づいて
いなかったと、Sophosは述べている。

 サイバー犯罪者はしばしば、正規Webサイトにマルウェアをひそかに仕込み、いわゆるドライブバイ・インストールによって訪問者の
コンピュータに感染させようとする。マルウェアを含むWebページに誘導するため、通常、電子メールを送りつけて、受信者にそうした
ページへのリンクをクリックさせるという手口が使われる。

 セキュリティ・ベンダーの米国Rapid7のセキュリティ研究者、マーカス・ケアリー(Marcus Carey)氏は、Rapid7は、サイバー犯罪者が
いたるところで、周知となったMSXMLの脆弱性を悪用していることを確信していると述べた。

 「この脆弱性が悪用され放題になっているのは間違いない」と、同氏は6月20日に語った。ソフトウェアの未パッチの脆弱性が公表さ
れている場合、それらはサイバー犯罪者にとって攻撃の格好の標的になる。サイバー犯罪者は、企業も個人も脆弱性の回避策をなか
なか適用しないことを知っているからだ。

 MSXMLの脆弱性は、簡単に悪用されてしまうだけになおさら危険だ。「この脆弱性を悪用するように作られたWebサイトを訪問するだ
けで、コンピュータがマルウェアに感染してしまう」とケアリー氏は指摘した。「IEユーザーは、MicrosoftのFix Itソリューションの適用な
ど、回避策をまだ講じていない場合、恐ろしい状況にある」

 MSXMLは、WindowsネイティブのXMLベース・アプリケーションを作成するのに使われる一連のサービス。MSXMLの最新の脆弱性
は、すべてのサポートされているバージョンのWindowsと、すべてのサポートされているエディションのMicrosoft Office 2003および
2007に影響を及ぼすとされる。この脆弱性の悪用に成功した攻撃者は、PCを完全に乗っ取るおそれがある。

 修正パッチが公開されるまでは、Microsoftが推奨する回避策を適用することだけが、ハッカーに対抗する方法になる。また、多くの
セキュリティ・ベンダーが、この脆弱性を悪用しようとする不正コードを検出するように製品をアップデートしている。「セキュリティ・ソフト
ウェアは、この脆弱性に対する保護を提供できるが、Microsoftが適切なパッチを早期に提供してくれることを期待しよう」と、Sophosの
シニア脅威研究者、ポール・バッカス(Paul Baccas)氏は、同社の公式ブログで述べている。

 MSXMLの最新の脆弱性は、米国Googleのセキュリティ・チームが5月30日にMicrosoftに報告した。