• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

IEにアドレス・バーを偽装される問題,URLとは異なるFlashコンテンツを表示

勝村 幸博=ITpro 2006/04/05 ITpro
今回の問題に関する検証ページの表示例<br>アドレス・バーには米MicrosoftのURLが表示されているが,ブラウザ内には別サイトのFlashコンテンツが表示されている。
今回の問題に関する検証ページの表示例<br>アドレス・バーには米MicrosoftのURLが表示されているが,ブラウザ内には別サイトのFlashコンテンツが表示されている。
[画像のクリックで拡大表示]
Secuniaが公開するデモの実行結果
Secuniaが公開するデモの実行結果
[画像のクリックで拡大表示]

 デンマークSecuniaなどは現地時間4月4日,Internet Explorer(IE)にアドレス・バーを偽装できる問題が見つかったことを明らかにした。細工が施されたWebページにアクセスすると,アドレス・バーに表示されているURLとは異なるサイトのFlashコンテンツ(.swf)をブラウザ内に表示させられる。

 今回の問題は,window.open()で開いた同じブラウザ・ウインドウに,WebページとFlashコンテンツを表示させようとすると競合状態が発生することが原因。競合状態が発生すると,アドレス・バーにはWebページのURLが表示されて,ブラウザ内にはFlashコンテンツが表示される場合がある。

 この問題を悪用すれば,アドレス・バーには信頼できる企業などのURLを表示させ,ブラウザ内には偽のコンテンツを表示させることが可能となる。つまり,フィッシング詐欺に悪用できる。

 Secuniaによれば,この問題は,すべてのパッチを適用したWindows XP SP1/SP2+IE 6の環境で確認されているという。また,ほかのバージョンにも同じ問題があるだろうとしている。

 現時点では,米Microsoftからはこの問題に関する情報や修正パッチ(更新プログラム)などは公表されていない。Secuniaではアクティブスクリプトを無効にすることを回避策として挙げている。アクティブスクリプトを無効にすれば,window.open()は機能しない。

 この問題を悪用するには,攻撃者は,細工を施したWebページにユーザーを誘導する必要がある。このため,信頼できないサイト(ページ)にアクセスしないことが,有効な回避策である。

【4月6日追記】Secuniaは現地時間4月5日,今回の問題を検証するためのデモ・ページを公開した。デモを実行すると,アドレス・バーには米Google(www.google.com)のURLが表示された状態で,Secuniaのコンテンツが表示される。【以上,4月6日追記】

◎参考資料
Internet Explorer Window Loading Race Condition Address Bar Spoofing
Microsoft Internet Explorer Flash File Loading Address Bar Spoofing Vulnerability
Internet Explorer Address Bar Spoofing Vulnerability Test

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【記者の眼】

    ラオスの古都、そして世界も日本も席巻する中国アプリ

     9月末、遅い夏休みを取って「ラオス」へ旅をしてきました。急に行き先を決めたこともあり、ガイドブックすら読まずに下調べゼロで入国。「一体現地に何があるんだろう」「水は飲めるのか」「治安も不安だ」――。様々なネガティブイメージが頭によぎりつつタラップから降り立った場所は、古都ルアンパバーン。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る