とりあえず収束に向かうも、未だ根本的解決には至らず

27日に発行しました号外で、既存の大手サイトを閲覧するとトロイの木馬を仕掛けられてしまうという新手の攻撃手法が急増している旨をご報告しました。

インターネットセキュリティ: 【号外】 新手法、大手サイト閲覧でトロイ

この件について、トロイのダウンロード元となっていたロシアのサーバが閉鎖されたため、たとえJavaスクリプト「Download.Ject」に感染しても、トロイをダウンロード・実行されてしまうことはなくなりました。

CNET Japan: ウェブサイトを使ったウイルス感染攻撃がいったん終息へ

しかしIEの脆弱性は未だ修正されておらず、別のダウンロードサーバを確保して「Download.Ject」をほんのちょっと書き換えれば、またすぐに攻撃が開始できることは明らかです。
「IEのJavaスクリプトを無効にすること」と「IE以外のWebブラウザを使うこと」を、引き続き強く推奨します。

インターネットセキュリティ: 初めての手順書---第4回 IEのセキュリティレベル設定


質問:「IEコンポーネントを使ったIE以外のブラウザはどうか?」

この攻撃手法について2件の質問をいただきましたので、記事上で回答させていただきたいと思います。
ブラウザにIEコンポーネントを利用したブラウザというのがあるのですが、その種を使っても無駄、意味がないのですか?

「IEではないブラウザ」でも、HTMLのレンダリング(HTMLを解釈して、Webページを表示すること)を行うエンジンにIEのコンポーネントを使っているブラウザがあります。
  • IEコンポーネントを使っているブラウザ
    Donutシリーズ、MyIE2など
  • 独自のレンダリングエンジンを使っているブラウザ
    Netscape Navigator、Mozilla、Mozilla FireFox、Operaなど
IEの脆弱性はほとんどの場合、IEコンポーネントを使う他のブラウザでも同様に持っています(中核はIEそのものですから)。ですから、セキュリティ上の理由でIEからたとえばDonutに乗り換えるのは、あまり意味がないということになります。

DonutがIEと異なる点として、たとえばJavaスクリプトやActiveXなどを簡単に有効化・無効化する機能がついているので、そういったものを使いこなせば多少は意味が出てきます。ただし今回の攻撃手法は「既存の大手サイト」を汚染してしまうため、「安全なサイト」と「危険と思われるサイト」の区別ができず、結局Javaスクリプトを常に無効化しておく他はないということになってしまいます。

やはり、独自のレンダリングエンジンを実装している他のブラウザを併用することをおすすめします。