米Microsoftのセキュリティ・チームであるMicrosoft Security Response Center(MSRC)は10月31日,公式ブログにおいて,Internet Explorer(IE)7に新たに見つかったとされる問題は,同社の定義では「セキュリティの脆弱性(security vulnerability)」には該当しないことを表明した。
セキュリティ・ベンダーのデンマークSecuniaは現地時間10月25日,IEの最新版であるIE 7に,アドレス・バーの表示を偽装できる脆弱性が見つかったことを明らかにした(関連記事:IE 7にアドレス・バーを偽装されるセキュリティ・ホール)。その後,この脆弱性に関してユーザーから問い合わせが寄せられ,一部で混乱が見られるとして,MSRCではこの脆弱性について説明した。
【10月31日お詫びと訂正】MSRCが言及しているのは10月25日に発見された脆弱性ではなく,Secuniaが現地時間10月30日に公開した「Internet Explorer 7 Window Injection Vulnerability」です。これは,アドレス・バーを偽装できる脆弱性ではなく,別のWebサイトのポップアップ・ウインドウに任意のコンテンツを挿入できるというものです。タイトルや本文の一部を訂正するとともに,お詫びいたします。【10月31日お詫びと訂正】
それによると,今回のような脆弱性は,同社の定義によれば「セキュリティの脆弱性」には該当しないという(「セキュリティの脆弱性」の定義)。これは同社の一環した対応であり,2004年に同様の脆弱性が見つかった際にも,それらをセキュリティの脆弱性とはみなさなかったという。
MSRCによれば,いずれの脆弱性についてもフィッシングやなりすましに悪用される恐れがあるものの,ユーザーがアドレス・バーやSSL接続(SSL証明書)を確認すれば影響を回避できるためとしている。言い換えると,フィッシングなどからユーザーを保護するための仕様(アドレス・バーやSSL)を意図的に利用しなかった場合のみ,被害に遭う可能性があるとしている。このためMSRCでは,2004年にも表明しているように,偽装の脆弱性はセキュリティの脆弱性には当たらないということを改めて解説した。
とはいえ,セキュリティの脆弱性に当たらない場合でも,同社では製品に関する報告をすべて深刻に受けとめ,ユーザーの保護に努めているという。例えば,IE 7でポップアップ・ウインドウにアドレス・バーを表示するようにしたことがその一環であるとしている。
加えてユーザーに対しては,アドレス・バーやSSL接続を確認することなくWebページを信用することのないよう,改めて注意を呼びかけている。
・Microsoft Security Response Center Blog
