米Microsoftは9月8日(現地時間)、デイゼロ攻撃に対処するための5つの緊急アップデートを発表した。だがセキュリティ専門家らによれば、アップデートで対処できない3件のデイゼロ攻撃がすでに確認されており、緊急対策が必要だと指摘している。
Microsoftが9月8日に配布を開始した緊急アップデートは、Microsoft Security Bulletinのページで確認できる。下記に一覧を掲載する。
- MS09-045,Vulnerability in JScript Scripting Engine Could Allow Remote Code Execution (971961)
- MS09-046,Vulnerability in DHTML Editing Component ActiveX Control Could Allow Remote Code Execution (956844)
- MS09-047,Vulnerabilities in Windows Media Format Could Allow Remote Code Execution (973812)
- MS09-048,Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (967723)
- MS09-049,Vulnerability in Wireless LAN AutoConfig Service Could Allow Remote Code Execution (970710)
これらは主にサービスやソフトウェアの脆弱性を突いてリモートから悪意のあるコードを実行する(Remote Code Execution: RCE)ことが可能になるもので、このうちのMS09-048のTCP/IPの脆弱性についてはCisco Systemsも自身の製品で同種の攻撃によるサービス停止(DDoS)の脆弱性があること警告している。
だが米InformationWeekの記事にもあるように、Windowsにはまだアップデートが提供されておらず、緊急に対処しなければならない脆弱性が3件存在するようだ。そのうちの2つはIISのもので、同サーバサービスのFTP機能を使ったRCEが可能だという。インターネット上にはこの脆弱性を使った攻撃コードがすでに1週間前に掲示されていたことが報告されている。最後の1つはServer Message Block (SMB) 2.0プロトコルに存在する脆弱性で、こちらは9月7日に攻撃コードの登場が確認されている。
脆弱性の発見から数日、もしくは1日経たずして攻撃コードが登場する状態を「デイゼロ(Day Zero)攻撃」と表現しているが、そのサイクルは年々短くなってきており、今回のように脆弱性が把握される前に攻撃コードが出現するケースもある。一般に、脆弱性を発見してもそれを公にせず、ベンダーに先に通知することでアップデートの登場を待つことが多いが、攻撃サイクルの短期化がこれを難しくしつつある。デイゼロ攻撃に対処すべく、ネットワーク管理者が適時サービス停止や隔離措置を行うなど、柔軟な運用が必要になるかもしれない。