マイクロソフトは5月17日,Internet Explorer(IE)の新しい2種類のセキュリティ・ホールを公表した。(1)ディジタル証明書を適切にチェックしない,(2)アクセスしているサイトとは異なるURLを表示してしまう---というセキュリティ・ホールである。
これらを悪用すれば,実際には別のサイトへアクセスしているにもかかわらず,信頼できるサイトへアクセスしているように見せることが可能となる。つまり,「Webサイトのなりすまし」である。ただし,悪用できる条件などを考えると,実際に悪用することは困難だという。
対象となるのは,バージョン5.01と5.5。それ以前のバージョンについては,影響を受けるかどうか分からないという。マイクロソフトのページでは「日本語版用は現在準備中」とされているが(5月18日15時現在),米Microsoftのダウンロード・サイトには日本語版用が用意されている。
ディジタル証明書のチェックをバイパス
SSL(secure sockets layer)通信の際,ブラウザはサーバーからディジタル証明書を受信すると,(1)有効期限が切れていないか,(2)アクセスしているサーバーと証明書に記載されているサーバーが一致しているか,(3)ユーザーが信頼できるとしている認証局から発行されたものか---をチェックしてなりすましを防ぐ。しかし,今回のセキュリティ・ホールを突かれると,そのチェックをバイパスしてしまう。その結果,不正なディジタル証明書であっても受け入れてSSL通信を開始してしまう。
ただし,チェックをバイパスするケースは限られている。まず,IEの「インターネット オプション」の「詳細設定」において,「サーバー証明書の取り消しを確認する」をチェックしている場合に限って影響を受ける。これは,デフォルトではチェックされていない。さらに,バイパスするかどうかは,それまでどのようなサイトへ訪れたか,どのようなディジタル証明書をチェックしたことがあるかなどが関係するという。そのため,まったく同じ設定をしていても影響を受ける場合と受けない場合とがある。
また,今回のセキュリティ・ホールが影響するのは「サーバー証明書」のチェックだけであり,コード署名証明書などのチェックには影響を与えない。そのため,以前公開された「マイクロソフト名義の偽ディジタル証明書が発行された問題」には影響を与えない([関連記事])。
加えて,このセキュリティ・ホールを悪用しても,ユーザーを攻撃者のサイトへ誘導することはできない。攻撃者のサイトが既存のサイトになりすますには,DNSサーバーの情報を書き換えるなど別の方法を用いなければならないという。そのため,実際に悪用することは困難であるとしている。
実際とは異なるURLを表示
もうひとつのセキュリティ・ホールを悪用すると,ユーザーが訪れているサイトのURLとは異なるURLをIEのアドレス・バーに表示させることが可能となる。実際には攻撃者のサイトに訪れているにもかかわらず,アドレス・バーにそのユーザーが信頼するサイト(例えば,オンライン・バンクなど)のURLを表示させることができるという。
さらに,米Microsoftが公開している情報によると,正当なSSLセッションを張ったままでなりすましが可能であるという。アドレス・バーに表示させたURLが“https://xxxxx/”の場合,SSLセッションが張られていることを示す「かぎマーク」をブラウザに表示させることが可能であり,その「かぎマーク」をクリックするとなりすまされているサイトの正当なディジタル証明書の情報が表示されるという。
ただしこの場合も,ユーザーをなりすましサイトへ誘導するには別の手段を用いる必要があり,実際には困難であるとしている。また,なりすませるのは最初の1ページだけで,ページ内のリンク先をなりすますことはできない。リンク先をなりすましサイト内のページにすると,クリックする際,ブラウザ下部に“本当の”URLが表示されるのでユーザーが気付くという。
以上の2つのセキュリティ・ホール以外に,マイクロソフトは既に公開されている「『フレームのドメイン照合』のぜい弱性」と呼ばれるセキュリティ・ホールの“変種”も同時に公開した。悪意のあるWeb管理者が,Webサイトに訪れたユーザーのマシン内にあるファイルを読み取ることができてしまうというもの。ただし,読み取れるのはブラウザで開ける「.htm」や「.txt」,「.doc」などに限られ,さらにファイルの名前と場所を正確に指定する必要がある。
今回公開されたパッチを適用すれば,上述のセキュリティ・ホールだけではなく,既に情報とパッチが公開されている「IEが勝手に電子メールの添付ファイルを開いてしまう」という深刻なセキュリティ・ホールも同時にふさぐことができる([関連記事])。
■ (MS01-027)「Web サーバー証明書検証の問題により Web サイトの偽装が可能になる」
■Microsoft Security Bulletin MS01-027 「Flaws in Web Server Certificate Validation Could Enable Spoofing」
■パッチのダウンロード・ページ
※「Internet Explorer 5.5 SP1」用か「Internet Explorer 5.01 SP2」用かを選択し,次のページの「Select Language」で「Japanese」を選択する
■(MS01-017)「VeriSign 発行の誤ったデジタル証明書による,なりすましの危険性」
■[関連記事:「米マイクロソフトの“偽”ディジタル証明書が発行される」]
■(MS00-033)「『フレームのドメイン照合』,『権限のない cookie アクセス』,『コンポーネント属性の変形』のぜい弱性に対する対策」
■(MS01-020)「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」
■[関連記事:「Windows環境で感染力の強い新種ウイルス発生の恐れ」]
