今週の月曜日（28日）、英国及び米国政府は、マイクロソフト社のインターネットエクスプローラーの脆弱性を利用したサイバーテロの高度な可能性について世界中の利用者に対して緊急警告を行った。これを受けて米国土安全保障省も利用停止を推奨している。

マイクロソフト社によれば、Internet Explorer6から11で脆弱性を悪用しようとする限定的な標的型攻撃を確認しており、今後大規模な攻撃の可能性を否定できない、という。

この脆弱性により利用者のメモリが破損し、攻撃者がInternet Explorerを介してリモートでコードを実行することで特別に細工を施したWebサイトに誘導させるなどの被害がある可能性を指摘している。

マイクロソフト社は、こうした攻撃に対して、全てのケースで利用者を強制的に特別に細工を施したWebサイトに接続させることは不可能とし、多くの事例で、当該Webサイトに接続させるための電子メールメッセージあるいはインスタントメッセンジャー内のリンクを偽装してクリックさせる方法が取られる可能性が高いとしている。

BBCは、世界のブラウザー市場において当該Explorerが約50％を占めている現状を見て非常に憂慮している。

今週に入り、当社にも法人クライアントから多数、セキュリティに関する問い合わせが増えてきた。ゴールデンウィーク幕開けの最中の事態に、IT管理者やセキュリティ責任者は対応を迫られた状況だ。

営業に支障がない場合にはブラウザーを一時的に使用停止にするなど暫定的な措置を行う企業もあるが、ブラウザーを利用したクラウドを導入している企業では対応を苦慮する場面もある。ひとまずリスク分析と状況把握に追われて、根本的な対応を留保する企業が続出している。

マイクロソフト社のインターネットエクスプローラーについては、かつてから色々な調査機関から脆弱性評価の報告があったが、これまでのバージョンの中で継続的に指摘されていた開放済みメモリ使用（use-after-free）の脆弱性が、改善されずに攻撃者のターゲットとなってしまったことは非常に残念だ。