写真1　SecuniaのコンテンツにMicrosoftのURLが表示されている

[画像のクリックで拡大表示]

写真2　ウインドウをクリックすると，本当のURLが表示される

[画像のクリックで拡大表示]

　デンマークSecuniaは現地時間10月25日，Internet Explorer 7（IE 7）にポップアップ・ウインドウのアドレス・バーを偽装できるセキュリティ・ホールが見つかったことを明らかにした。フィッシング詐欺などに悪用される恐れがあるという。

　今回のセキュリティ・ホールは，10月18日に正式版（英語版のみ）がリリースされたIE 7に見つかった。WebページやHTMLメール中の細工が施されたリンクをクリックすると，実際とは異なるアドレス（URL）を表示したウインドウがポップアップされる。つまり，ポップアップ・ウインドウのアドレス・バーを偽装することができる。

　Secuniaでは，偽装が可能であることを示すデモ・ページを用意。IE 7で表示させたデモ・ページ中のリンクをクリックすると，Secuniaのサイトに置かれたコンテンツ（ポップアップ・ウインドウ）が，米MicrosoftのURL（http://www.microsoft.com/）をアドレス・バーに表示してポップアップされる（写真1）。

　これを悪用すれば，例えばフィッシング・サイトのコンテンツ（個人情報の入力画面など）に正当な企業のURLを表示させて，ユーザーをだますことが可能になるという。

　しかしながら，Microsoftのセキュリティ・チーム（Microsoft Security Response Center（MSRC）でも今回のセキュリティ・ホールを確認しているものの，偽装を見破ることは容易であるという。ウインドウをクリックしたり，アドレス・バーを横にスクロールしたりすれば，本物のアドレスが表示される（写真2）。

　また，IE 7にはフィッシング詐欺検出機能（フィッシング・フィルター）が備わっているので，今回のセキュリティ・ホールを悪用するフィッシング・サイトが出現しても，被害に遭うことを防げるという。

　MSRCでは今回のセキュリティ・ホールを悪用した攻撃を現時点では確認していないが，いつものように，状況の監視や調査を続けるという。

【10月26日追記】米SANS Instituteでは，ポップアップ・ウインドウを新しいタブで表示させるように設定すれば，今回の偽装を防げるとしている。

　具体的には，IE 7の「Tools」メニューの「Internet Options」を選択し，「General」タブ中の項目「Tabs」の「Settings」をクリックして表示される「Tabbed Browsing Settings」中の「When a pop-up is encountered:」で，「Aways open pop-ups in a new tab」をチェックする（デフォルトは「Always open pop-ups in a new window」）。【以上，10月26日追記】

・デンマークSecuniaの情報
・Microsoft Security Response Center Blog