Microsoftは先日、ゼロデイ脆弱性「CVE-2021-40444」について発表しました。この脆弱性を悪用することで、感染コンピューター上で悪意あるコードのリモート実行が可能となります。サイバー犯罪者によってすでに悪用されているため、Microsoftはネットワーク管理者に対し、パッチが提供されるまでの間は一時的な回避策を講じるように推奨しています。
CVE-2021-40444の詳細
この脆弱性は、Internet Explorer のエンジンであるMSHTMLの脆弱性です。Internet Explorerを使用する人が減ったとはいえ(MicrosoftはEdgeへの切り替えを強く推奨しています)、この古きブラウザーは今でもOSのコンポーネントであり、一部のプログラムではWebコンテンツの処理に今も使われています。特に、WordやPowerPointといったMicrosoft OfficeアプリケーションはInternet Explorerに依存しています。
攻撃者はどのようにCVE-2021-40444を悪用するか
この脆弱性を悪用する攻撃では、任意コードの実行を可能にする悪意あるActiveXコントロールが埋め込まれたMicrosoft Officeドキュメントが使用されます。こうしたドキュメントは、メールの添付ファイルとして届く場合がほとんどです。攻撃者としては、このファイルを相手に開かせなくてはなりません。
理論上は、Microsoft Officeではインターネット経由で受け取ったドキュメントを保護ビューまたはOffice用Application Guardで開くので、CVE-2021-40444を通じた攻撃を阻止できます。しかし、いったん手を止めて考えることをせずに[編集を有効にする]ボタンをクリックしてしまい、Microsoftのセキュリティメカニズムを無効化してしまう人がいるかもしれません。
CVE-2021-40444から企業を守るには
Microsoftは本件の調査を約束し、必要であれば公式パッチをリリースするとしています。ということは、次回の月例パッチが予定されている9月14日まではパッチが出ないということです。通常であれば修正パッチのリリース前にMicrosoftから脆弱性が発表されることはありませんが、CVE-2021-40444がすでに悪用されていることから、一時的な回避策をただちに講じるように同社は推奨しています。
回避策としては、システムレジストリにいくつかキーを追加して、新しいActiveXコントロールのインストールをさせないようにします。Microsoftからは、この脆弱性の詳細な情報と共に、回避策も提示されています。「回避策」セクションには、設定の方法と併せ、回避策が不要になった場合の無効化のしかたも説明されています。Microsoftによると、この回避策が既存のActiveXコントロールに影響することはありません。
当社からは、以下をお勧めします。
- 企業のメールゲートウェイレベルにセキュリティ製品を導入するか、Microsoft 365の標準のセキュリティメカニズムを拡張して企業のメールを攻撃から保護する。
- 全社員のコンピューターに、脆弱性の悪用を検知可能なセキュリティ製品を導入する。
- 現代のサイバー脅威に関する従業員意識を定期的に喚起する。特に、信頼できない出所から送られてきたメールに添付されたファイルは開かないこと、絶対に必要だという場合でないかぎり編集モードを有効にしないことを再認識させる。