写真1 ステータス・バーにはマイクロソフトのURLが表示されている
写真1 ステータス・バーにはマイクロソフトのURLが表示されている
[画像のクリックで拡大表示]
写真2 画像をクリックすると,IT Proのページへ誘導される
写真2 画像をクリックすると,IT Proのページへ誘導される
[画像のクリックで拡大表示]

 デンマークSecuniaは現地時間11月16日,Internet Explorer(IE)やOperaにステータス・バーを偽装できる問題(弱点)が見つかったことを明らかにした。スクリプトを使わずに,画像に張られたリンク先を偽装できる。

【11月18日追記】Secuniaは現地時間11月17日,Webブラウザ「Safari」にも同様の問題があることを,明らかにした【以上,11月18日追記】

 リンクが張られた画像ファイルをWebブラウザで表示させた場合,その画像部分にマウス・カーソルを当てると,リンクの飛び先がブラウザのステータス・バーに表示される。スクリプトを使えば,ステータス・バーの表示を任意に変更できるものの,スクリプトを無効にしていれば,ステータス・バーには飛び先のURLが表示される。

 今回見つかった問題は,スクリプトを使わずに,実際の飛び先とは異なるURLをステータス・バーに表示できるというもの。Formタグを使えば,Webページ(HTMLファイル)の作者が,実際の飛び先とは異なる任意のURLをステータス・バーに表示させることができる。

 写真1は,Secuniaの情報に基づいて作成したデモ・ページ。ページ内のマイクロソフトのロゴにマウス・カーソルを当てると,マイクロソフトのURL(http://www.microsoft.com/japan/)がステータス・バーに表示される。このとき,IEの設定ではアクティブ スクリプトを無効にしている。

 だが,ロゴをクリックするとIT Proのサイトへ誘導される(写真2)。編集部では,同様のデモがOperaでも可能であることを確認した。

 直接攻撃を受けるような問題ではないので,Secuniaでは深刻度(Criticality)を「Not Critical」としている。だが,偽サイトへの誘導の手段などに用いられる可能性があるので要注意。スクリプトを無効にしていても,ステータス・バーを偽装される可能性があることを認識しておくべきだろう。

◎参考資料
Internet Explorer Image Control Status Bar Spoofing Weakness
Opera Image Control Status Bar Spoofing Weakness