マイクロソフトがサポートを終了したウェブブラウザー「Internet Explorer(IE)」で新たなゼロデイ脆弱性が発見され、実際に攻撃に悪用されていたことが明らかになった。トレンドマイクロやカスペルスキーなどセキュリティー企業の専門家が報告している。
7月9日に公開されたこの脆弱性「CVE-2024-38112」は、IEのブラウザーエンジンMSHTMLに存在する欠陥で、深刻度は10段階中「7.5」と高く評価されている。カスペルスキーによれば、攻撃者はこの脆弱性を悪用し、過去18ヵ月にわたってパスワードを窃取していたという。
攻撃者は、PDFファイルのアイコンを持つ.urlファイルを作成し、ユーザーに送信する。このファイルを開くと、IEが起動し、悪意のあるHTAファイル(HTMLアプリケーション)がダウンロード・実行される。ユーザーが警告を無視してしまうと、情報窃取マルウェアが起動し、パスワードやブラウザー履歴、暗号通貨ウォレットの鍵などの機密情報が攻撃者のサーバーに送信されてしまう。
マイクロソフトは既にこの脆弱性に対するパッチを配信しており、更新プログラムをインストールすることで、.urlファイルはより安全なEdgeブラウザーで開かれるようになる。
この事態は、IEが完全に「死んでいない」ことを示している。2022年2月にIEのサポートが終了したにもかかわらず、ブラウザーはシステム内に残存しており、新たな脆弱性の温床となってしまっているようだ。
セキュリティー各社はWindows利用者に対し、IEとMSHTMLエンジンに関連するすべての更新プログラムを迅速にインストールして、信頼できるセキュリティーソリューションを使用することを推奨している。
