Googleがいまだに悪用されているWindowsのゼロデイバグを公表

Google(グーグル)が、現在のところ公表されていないWindowsの脆弱性について、その詳細を明らかにした。同社によると、その脆弱性は現在でもハッカーが頻繁に悪用しているという。グーグルはMicrosoft(マイクロソフト)に、1週間の修復猶予期間を与えている。そしてその締切が過ぎた米国時間10月30日の午後、脆弱性の詳細を公表した。

この脆弱性には名前がなく「CVE-2020-17087」というラベルが付いている。被害は主にWindows 7とWindows 10で生じている。

脆弱性を発見したグーグルのセキュリティグループであるProject Zeroによると、このバグによりWindowsの自分のユーザーアクセスのレベルを上げることができるという。Windowsの脆弱性とChromeの別のバグを一緒に用いるが、後者はグーグルが先週公表しフィックスしている。新しいバグでは、通常は他のアプリケーションから隔離されているChromeのサンドボックスを逃れて、オペレーティングシステムの上でマルウェアを動かすことができる。

Project Zeroの技術長であるBen Hawkes(ベン・ホークス)氏はTwitter上で、マイクロソフトが11月10日にパッチを発行する予定だと述べている。

マイクロソフトに問い合わせたが明確な返答はないが、声明で次のように語られている。「マイクロソフトは顧客への責任を重視して、報告されているセキュリティ問題を調査し、被害デバイスをアップデートして顧客を保護する。公表に関して、すべての研究者が締切を守るよう努めているが、それには今回のような短期間の締切も含まれている。セキュリティアップデートの開発は時宜性とクォリティとのバランスであり、顧客に迷惑をかけず最大限の顧客保護を実現することが、我々にとって究極の目標だ」。

犯人とその動機については不明だ。グーグルの脅威情報担当ディレクターであるShane Huntley(シェーン・ハントリー)氏によると、犯行は特定の人物を対象としているが、米国の選挙とは無関係だという。

マイクロソフトの広報担当者は、報告されている犯行は「極めて限られた、特定の目標を狙ったものであり、犯行が広範囲に及んだことを示すエビデンスは見つからない」と述べている。

2020年はWindowsの大きな欠陥が多く報告されたが、今回はその最新のものとなる。マイクロソフトは2020年1月に、NSA(国家安全保障局)の助力によりWindows 10の暗号のバグを発見したが、悪用のエビデンスはないという。しかし6月と9月には、国土安全保障省が、2つの重要なWindowsのバグを警告している。1つはインターネット全体に拡散力する可能性があり、もう1つは、Windowsのネットワーク全体に対する完全なアクセスを取得することができた。

【追記】マイクロソフトからのコメントにより本記事をアップデートした。

関連記事
【緊急】マイクロソフトとNSAがWindows10に影響を与えるセキュリティバグを警告(パッチリリース済)
米国土安全保障省がSMBの脆弱性を突くWindows 10のワーム化可能なバグを警告
米国土安全保障省がWindowsの「緊急」レベル脆弱性に異例警告、深刻度最大のZerologon攻撃を受ける可能性

カテゴリー:セキュリティ
タグ:MicrosoftGoogle

画像クレジット:

原文へ

(翻訳:iwatani、a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。