G Data Software，IE6/7の新たな脆弱性に対して，年初のAuroraウィルスと類似した被害の可能性を指摘。IE8への速やかなアップデートを勧告

　G Data Softwareは本日（3月15日），3月9日にMicrosoftより発表されたインターネット・エクスプローラー（以下，IE）の新たな脆弱性に関する警告を発した。

　この脆弱性は，年初に「Auroraウィルス」が引き起こした，Googleなど大企業への攻撃を多発させるゼロデイ アタックに類似した攻撃を多発する恐れがあるとしている。

　ゼロデイ アタックとは，脆弱性が広く知られたり対応がはかられる前に，その脆弱性を使った悪意ある攻撃が行われること。年初に猛威をふるったAuroraウイルスは，IEの脆弱性（CVE 2010-0249）を突いて，感染したPCを遠隔から操作できるようにするウィルスだ。PCが遠隔操作されてしまうと，別のウイルスやスパイウェアを仕込まれたり，そのPCから悪意あるコードによって企業のサイトへの攻撃が行われたり，データの盗用が代行で行われたりしてしまうのだ。

　Microsoftが発表したセキュリティ・アドバイザリ（981374，CVE2010-0806）によると，今回警告が発せられた脆弱性はIE6とIE7に関わるものであるとしており，G Data SoftwareはAuroraウィルスと同様の被害が起こる可能性が高いと懸念している。

　Windows 7は標準のブラウザとしてIE8が適用されているが，Windows XPやVistaではアップデートによってインストールを行わない限り，IE6やIE7のままだ。ちなみに（概算ではあるが）4Gamerの読者の中で，IE6/7を利用している人は，およそ20％弱存在しているので，まだまだ多くのユーザーが利用していることがよく分かる。

　この脆弱性へのもっとも確実な対処方法は，IE8にアップデートすることだ。今のところ，この脆弱性が悪用できるのはIE6/7のみなので，FireFoxやそのほかのブラウザを利用するのも対処方法の一つとされている。セキュリティレベルを「高」に設定したり，ファイアウォールによるインターネット上のサイトの監視やフィルタの設定など，インターネットセキュリティを強化するといった方法も対処方法になる。IEのバージョンチェックや予防方法は，以下のようにいくつかあるので，可能なことはやっておこう。

◆IEのバージョンの確認方法
　IEを立ち上げ、「ヘルプ」のタグを開き、「バージョン情報」をクリックします。バージョンが6や7であれば8にアップデートすることをお勧めします。

攻撃への対処方法
この脆弱性に対しては、以下のような対処方法が考えられます。
(1) IE6/7をIE8にアップグレードする
(2) IEではなく、他のブラウザ（Mozilla FirefoxやGoogle Chromeなど）を使用する
(3) Windows OSの「保護モード」を使用する（Windows VistaならびにWindows 7の場合）
(4) 「このゾーンのセキュリティのレベル」を「高」にする（ツール＞インターネットオプション＞セキュリティ）
(5) ファイアウォールを備えウェブ監視やフィルターを伴った、インターネットセキュリティソフトを適切に使用する
(6) OSや他のソフトを最新バージョンにアップデートして使用する

　とはいえ，すでにIE以外のブラウザを利用しているという人も，Windows上に残っているとIE6/7を使用してしまう可能性はまったく無いとは言い切れないので，利用しないにしてもIEのバージョンはIE8にアップデートしておくほうがいいだろう。

　年末年始を挟んで，大きなウイルス被害がいくつかあったが，その中でも再発の危険性が高く，大企業を通してさらに多くの人への被害が広がる可能性があるため，自分は大丈夫と思わず，IEのアップデートくらいは行うようにしよう。

セキュリティ・アドバイザリ（981374，CVE2010-0806）
http://www.microsoft.com/japan/technet/security/advisory/981374.mspx

G Data Software
http://www.gdata.co.jp/