米MicrosoftのInternet Explorer(IE)9と10に存在する未解決の脆弱性を突く攻撃が、日本国内で猛威を振るっているという。米Symantecが2月25日のブログで伝えた。
この脆弱性は2月上旬に発覚し、これまでは米国などで特定の標的を狙った「水飲み場攻撃」の発生が確認されていた。
しかしSymantecによると、2月22日ごろからこの脆弱性を付くゼロデイ攻撃が急増し、脆弱性を突くコードは誰にでも入手して再利用できる状態になっているという。
攻撃は特に日本で多発しており、攻撃コードの標的にされた各国のコンピュータの中で、日本が占める割合は89.3%と群を抜いている。
標的にされた各国のコンピュータの状況(Symantecより)Symantecが確認しただけでも、トレッキング愛好家向けサイト、アダルト出会い系サイト、語学学習サイト、金融情報サイト、通販サイト、旅行会社のサイトなどに不正なコードが仕掛けられているという。
こうしたWebサイトをIE 9/10で閲覧した場合、ユーザーが知らないうちに、特定の銀行のログイン情報を盗み出すマルウェアに感染する恐れがあるという。Symantecは、みずほ銀行のWebサイトを装った偽のログイン画面を紹介している。
みずほ銀行に見せかけたフィッシングサイトMicrosoftはまだこの脆弱性を修正する更新プログラムを公開していないが、当面の対策をワンクリックで適用できるツール「Fix it」の提供を開始した。また、脆弱性の影響を受けないIE 11へのアップグレードを促している。
Symantecは、ゼロデイ攻撃は今後もさらに拡大が予想されるとして、直ちに対策を講じるよう呼び掛けた。
関連記事
関連リンク
Copyright© 2014 ITmedia, Inc. All Rights Reserved.