トレンドマイクロではInternet Explorer(IE)に未修正の脆弱性(ゼロデイ脆弱性)があることを確認しました。同一生成元ポリシーの制約を迂回するこの脆弱性を利用することで、「ユニバーサルクロスサイトスクリプティング(Universal XSS、UXSS)」と呼ばれる攻撃が可能になります。
一般に「クロスサイトスクリプティング(XSS)」と呼ばれる攻撃は、脆弱な Webアプリケーションが設置されているドメイン上で起こるものですが、「ユニバーサルクロスサイトスクリプティング(Universal XSS、UXSS)」と呼ばれる攻撃は、任意のドメイン上での任意のスクリプト実行が可能であるというものです。攻撃者は不正に細工した URL をインターネット利用者に踏ませることで、正規サイトの認証情報(クッキー)の窃取や、 正規サイトの表示を改変したり、不正なスクリプトを実行させたり、他の不正サイトへ誘導することができます。
攻撃の例としては、より巧妙なフィッシングサイトの構築が挙げられます。ユーザは、悪意あるリンクをクリックしたとき、正規のオンラインバンキングサイトのドメインにリダイレクトした上で、攻撃者が用意したフィッシング用の画面を見せられ、正規ドメインにアクセスしているように見えながらも攻撃者に認証情報を送信してしまいます。フィッシングは通常は偽ドメイン上で行われるのに対し、今回のように UXSS が可能な状況では正規ドメイン上で行われることになります。UXSS を利用したフィッシングは、より巧妙かつ悪質であると言えます。
2月4日現在、この脆弱性を利用した攻撃は確認されていません。トレンドマイクロでは、この脆弱性についての詳細は現在調査中ですが、攻撃に悪用可能な PoC(概念実証)コードは既に確認されており、いつ攻撃が発生してもおかしくない状況と言えます。この脆弱性を攻撃するためには利用者に細工した URL を踏ませる必要があります。修正プログラムが存在しない状態ですので、被害に遭わないためには不審なメールや Web上の書き込みにある URL に安易にアクセスしないことが重要です。
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、以下のフィルタを適用することにより、問題のゼロデイ脆弱性を利用した攻撃から保護されます。
- 1006472 – Microsoft Internet Explorer Same Origin Policy Bypass Vulnerability
トレンドマイクロでは、この脆弱性に関連した動きを継続して監視し、新しい情報が確認でき次第当ブログ上でアップデートいたします。
協力執筆者:木村 仁美(Security Specialist)