Windows XPのサポート終了後に発見されたInternet Explorer の脆弱性

現在の状況

先週末、MicrosoftのInternet Explorerブラウザのあらゆる最新バージョンにおいて新たに発見された脆弱性について情報が提供されました。この脆弱性は攻撃者によるリモートでのコードの実行を被害者の許可なく可能にし、使用しているシステムでのセキュリティ侵害のほか、さまざまなマルウェアがインストールされる原因となります。このエクスプロイトでは、攻撃者がリモートコード実行(RCE)を防ぐIE特有の機能を迂回するために、Adobe Flashから使用されることの多い手法が用いられています。

重大な問題である理由

この脆弱性(Microsoftがセキュリティ アドバイザリで情報を提供しています)は、Microsoftがサポートを終了しているWindows XPユーザーに対して、初めて発見された重大な脆弱性です。今月に入ってからお伝えした通り、Microsoftでは実質的にすべてのWindows XPユーザーへのサポートを終了し、現在は追加サポートのために高額な料金を支払っている一部の大手企業や、政府の顧客以外のXPユーザーへのサポートは打ち切られています。

現在もWindows XPを使用している場合、Microsoftが考え直してWindows XPを対象とするパッチのリリースを行わない限り、脆弱性を修正する方法は存在しません。(5月2日更新:日本時間5月1日、MicrosoftはWindows XP用セキュリティ更新プログラムを特例として公開しました。)

影響を受ける対象者

この脆弱性はMicrosoft Windowsを利用している実質的にすべてのユーザーに影響を及ぼします。Windows XP、Vista、7、または8を利用している場合はこのエクスプロイトに対して脆弱であり、コードがリモートで実行される可能性があります。

このエクスプロイトの仕組み

Internet Explorerでは、攻撃者によるリモートでのコードの実行を可能にする開放済みメモリ使用の脆弱性(具体的なコンポーネントはVGX.DLL)が発見されています。

通常の他の多くのマルウェアキャンペーンや標的型攻撃と同様に、最初の攻撃は特別に作成されたEメールを使って実行されます。このEメールは、本文に含まれるリンクをユーザーにクリックさせ、攻撃者の管理下にあるサイトに誘導するよう設計されています。

このサイトを訪問すると、AdobeのFlash Playerをインストールしているユーザーを対象に設計されたFlashファイル(SWF)がダウンロードされます。ここでは、エクスプロイトの確実性を上げることを目的に、メモリの割り当て方法を操作するための手法が用いられます。これはheap feng shui(ヒープ風水)ヒープスプレーとして広く知られています。

この手法は攻撃者によるIEのメモリレイアウトのコントロールのほか、通常はRCEの保護となるアドレス空間配置のランダム化(ASLR)など、エクスプロイトを緩和するための最新機能の迂回を可能にします。

このエクスプロイトに関する報告では、確実な攻撃を助長するためにFlashが用いられていることが明記されているものの、ASLRを迂回するために他の手法が使われている可能性があることに注意が必要です。ここでは、ヒープスプレーの確実な方法の提供を目的にFlash攻撃の手法が用いられています。

また、このエクスプロイトが特権の昇格を許可しないことにも留意する必要があります。つまり、管理者以外のアカウントを使用(常に推奨される)している場合は、執拗なマルウェアのインストールなど、攻撃者に提供される選択肢を制限することができます。

対策について

コンピュータのユーザーの場合

  • 通常通り、万全なセキュリティの習慣を実行することが重要です。受信したメールに含まれるリンクはクリックしないようにします。すべてのEメールを潜在的に危険なものとして扱い、対応してください。
  • MicrosoftがInternet Explorerでのエクスプロイトを修正するパッチをリリースするまでは、別のインターネットブラウザの利用を検討すべきでしょう。普及している選択肢の一部としては、MozillaのFirefox、GoogleのChromeOperaブラウザが挙げられます。現在もWindows XPを使用している場合は、Windowsの新しいバージョンへ移行するのではなく、Internet Explorerの利用を完全に中止したほうがよいでしょう。
  • Windows XPを使用している場合は、オペレーティングシステムを新しいバージョンにアップグレードしてください。Windows XPは非常に多くのエクスプロイトによる影響を受ける可能性があり、一切の修正が不可能になるかもしれません。
  • Internet Explorer 10または11を利用している場合は、拡張保護モード(EPM)を有効にすることが可能です。EPMは脆弱性の実行を阻止できることが明らかになっています。EPMの詳細については、こちらからご確認ください。また、Microsoftは技術に精通するユーザーを対象に、EPMに関する優れた詳細記事を提供しています。詳細についてはこちらをご覧ください。
  • 管理者の特権を持つコンピュータでのアカウントの使用を常に控える必要があります。それが不可能な場合、管理者のアカウントでログイン中は絶対にインターネットを閲覧すべきではありません。これは、新しいソフトウェアのインストールや既存のソフトウェアのアップグレードが必要になった場合にユーザーが不便を感じる原因となるものの、保護レイヤの追加には見合う価値があるでしょう。

企業またはネットワーク/セキュリティ管理者の場合

  • フォーティネットのIPSシグネチャ更新(下記の詳細情報を参照)をすぐにダウンロードの上、適用してください。
  • MicrosoftのEnhanced Mitigation Experience Toolkit(EMET)では、脆弱性に対する保護が提供されています。この記事の作成時点で、EMET 4.1と5.0の両方がエクスプロイトに対する保護に対応しています。
  • IE 10または11を利用しているユーザーについては、必ずEPMを有効にしてください。
  • やむを得ない場合を除き、ユーザーレベルでのコンピュータへの管理者アクセスは提供しないようにします。
  • Microsoftがパッチを提供するまでIEのFlash を無効にします。ただし、Flashを無効にする事は、IEの脆弱性自体からユーザーを保護しないことに留意してください。これは最近発見され、エクスプロイトを開始するためにFlashが用いられる攻撃方法に対する保護のみを提供します。

フォーティネットの対応。FortiGateのユーザーを保護する方法。

  • FortiGuard Labsは日本時間4月29日、この攻撃を特定するためのIPSシグネチャ(MS.IE.StyleLayout.Handling.Memory.Corruption)をIPSアップデート 4.487からリリースしました。Heartbleed向けに提供されているIPSシグネチャと同じく、フォーティネットではIPSシグネチャの更新のほか、この攻撃を特定、阻止するための新しいポリシーの有効化を提案しています。これについてよくご存知でない方のために、フォーティネットでは既存/新しいシグネチャの適用に活用できる、Heartbleedを対象とする簡潔な動画を作成しています。この動画「Protection Against the Heartbleed Vulnerability」は、こちらからご覧いただけます。
  • 現在のオペレーティングシステムやパッチのレベルを問わず、このシグネチャ更新はあなたのネットワークを攻撃から保護します。