はじめに:IEモードの制限強化
Microsoftは、ゼロデイ攻撃の悪用が確認されたことを受け、EdgeブラウザのInternet Explorer(IE)モードへのアクセスを制限しました。この措置は、攻撃者がChakra JavaScriptエンジンのゼロデイ脆弱性を悪用し、標的のデバイスにアクセスしていることが判明したためです。
Microsoft Edgeセキュリティチームのリードであるガレス・エヴァンス氏は、「脅威アクターがEdge内のIEモードを悪用し、疑うことを知らないユーザーのデバイスにアクセスしているという情報を受け取った」と述べています。
攻撃の詳細と手口
攻撃者は、ソーシャルエンジニアリングとChakraの脆弱性を組み合わせることで、リモートコード実行(RCE)を達成しました。さらに、2つ目の脆弱性を悪用して特権を昇格させ、ブラウザから脱出することで、デバイスを完全に制御したと報告されています。
攻撃は、ユーザーを「公式に見せかけた偽装ウェブサイト」に誘導し、IEモードでページを読み込むよう促すインターフェース要素を通じて行われました。エヴァンス氏によると、Chakraの脆弱性は未パッチの状態であり、悪用された脆弱性の識別子は提供されていません。
Microsoftによる対策と新たな利用方法
このリスクを軽減するため、MicrosoftはIEモードを簡単にアクティベートできる方法を削除しました。具体的には、以下の機能が廃止されました。
- 専用のツールバーボタン
- コンテキストメニュー
- ハンバーガーメニュー内の項目
現在、IEモードをアクティブにしたいユーザーは、「設定」>「既定のブラウザ」>「許可」に移動し、Internet Explorerを使用して読み込むべきページを個別に定義する必要があります。この新しい制限は、IEモードの起動を意図的なユーザーアクションとすることを目的としており、承認されたウェブサイトのリストによって攻撃の成功を非常に困難にすることが期待されます。
なお、これらの変更は、エンタープライズポリシーを通じてIEモードを設定している商用ユーザーには適用されません。
Microsoftからの推奨事項と今後の展望
Microsoftは、IEのレガシーウェブ技術から、より優れたセキュリティ、信頼性、パフォーマンスを提供するモダンな製品への移行を改めて推奨しています。これは、企業や政府機関が古い技術に依存し続けることのリスクを強調するものです。