トレンドマイクロは5日、同社のセキュリティブログで「Internet Explorerのゼロデイ脆弱性を確認、Universal XSS攻撃の危険性」を公開した。「いつ攻撃が始まってもおかしくない状況」とも述べ、警戒を呼びかけている。
今回確認された脆弱性は、ユニバーサルクロスサイトスクリプティング(Universal XSS、UXSS)という攻撃を可能にするもの。不正に細工したURLにユーザーをアクセスさせることで、正規サイトの改変、認証情報の搾取、不正スクリプトの実行、別の不正サイトへ誘導、といった攻撃ができるという。
具体例としては、「より巧妙なフィッシングサイト」を挙げている。攻撃用のURLにアクセスすると、ネットバンキングなど正規ドメインにアクセスしているように見せかけつつも、攻撃者に対して認証情報などを送信してしまう。通常のフィッシングサイトは「偽ドメイン」上で行われるのに対し、ユニバーサルクロスサイトスクリプティングを悪用した攻撃は「正規ドメイン」上で成立する。
トレンドマイクロによれば、2015年2月4日の時点では、今回のIEゼロデイ脆弱性を用いた攻撃は確認されていないとのこと。ただし攻撃に応用できる「概念実証コード」はすでに出回っており、冒頭のように「いつ攻撃が始まってもおかしくない状況」としている。また、攻撃者は「ユーザーに不正なURLをクリックさせる」必要があるため、不審なメールやWeb上の書き込みにあるURLを安易にクリックしないことが重要と、警戒を呼びかけている。
なお、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」を使用中のユーザーは、以下のフィルタを適用することによって、今回のIEゼロデイ脆弱性を悪用した攻撃から保護されるとしている。
1006472 - Microsoft Internet Explorer Same Origin Policy Bypass Vulnerability