デンマークSecuniaは現地時間10月25日,Internet Explorer 7(IE 7)にポップアップ・ウインドウのアドレス・バーを偽装できるセキュリティ・ホールが見つかったことを明らかにした。フィッシング詐欺などに悪用される恐れがあるという。
今回のセキュリティ・ホールは,10月18日に正式版(英語版のみ)がリリースされたIE 7に見つかった。WebページやHTMLメール中の細工が施されたリンクをクリックすると,実際とは異なるアドレス(URL)を表示したウインドウがポップアップされる。つまり,ポップアップ・ウインドウのアドレス・バーを偽装することができる。
Secuniaでは,偽装が可能であることを示すデモ・ページを用意。IE 7で表示させたデモ・ページ中のリンクをクリックすると,Secuniaのサイトに置かれたコンテンツ(ポップアップ・ウインドウ)が,米MicrosoftのURL(http://www.microsoft.com/)をアドレス・バーに表示してポップアップされる(写真1)。
これを悪用すれば,例えばフィッシング・サイトのコンテンツ(個人情報の入力画面など)に正当な企業のURLを表示させて,ユーザーをだますことが可能になるという。
しかしながら,Microsoftのセキュリティ・チーム(Microsoft Security Response Center(MSRC)でも今回のセキュリティ・ホールを確認しているものの,偽装を見破ることは容易であるという。ウインドウをクリックしたり,アドレス・バーを横にスクロールしたりすれば,本物のアドレスが表示される(写真2)。
また,IE 7にはフィッシング詐欺検出機能(フィッシング・フィルター)が備わっているので,今回のセキュリティ・ホールを悪用するフィッシング・サイトが出現しても,被害に遭うことを防げるという。
MSRCでは今回のセキュリティ・ホールを悪用した攻撃を現時点では確認していないが,いつものように,状況の監視や調査を続けるという。
【10月26日追記】米SANS Instituteでは,ポップアップ・ウインドウを新しいタブで表示させるように設定すれば,今回の偽装を防げるとしている。
具体的には,IE 7の「Tools」メニューの「Internet Options」を選択し,「General」タブ中の項目「Tabs」の「Settings」をクリックして表示される「Tabbed Browsing Settings」中の「When a pop-up is encountered:」で,「Aways open pop-ups in a new tab」をチェックする(デフォルトは「Always open pop-ups in a new window」)。【以上,10月26日追記】
・デンマークSecuniaの情報
・Microsoft Security Response Center Blog