12月10日以降,「Bugtraq」などのセキュリティ関連メーリング・リストでは,Internet Explorer(IE)に見つかった新しいセキュリティ・ホールが話題になっている。セキュリティ・ホールに関する情報やパッチはMicrosoftからは公開されていない。URLに細工を施すと,実際のURLとは異なるURLをアドレス・バーに表示させることができる。
 |
| 写真1●Microsoftのページに見せかけたページ |
 |
| 写真2●写真1のページの実際のURL |
 |
| 写真3●Microsoftのページに見せかけたページに誘導するHTMLメール |
 |
| 写真4●Microsoftのページに見せかけたページ |
 |
| 写真5●写真4のページの実際のURL |
【12月15日追記/訂正】今回のセキュリティ・ホールを突けば,「プロパティ」情報のURLも偽装できることが明らかとなっている。このため,「プロパティ」で表示されるURLも信用できない場合がある。「信頼できないWebサイトやHTMLメールのリンクはクリックしない」を実践して回避する必要がある。【以上,12月15日追記/訂正】
今回明らかにされたセキュリティ・ホールは,URLに「%01」や「@」などを含められると,URLの一部分しかアドレス・バーに表示しないというもの。これを“利用”すれば,悪意があるWebページを,信頼できる企業/組織のWebページに見せかけることが可能となる。
セキュリティ・ホールを確認するためのWebサイトやHTMLメールがいくつか公開されている。例えば写真1では,アドレス・バーに「http://www.microsoft.com」と表示されているが,実際のURLは,「ファイル」メニュー(あるいはマウスの右クリック)から選択した「プロパティ」で表示される,写真2のURL(アドレス)である。
写真1および2は,別のWebページから,Microsoftのページに見せかけたページに誘導する例である。HTMLメールから誘導する例も公開されている。
写真3のHTMLメール中のリンクにマウス・ポインタを当てると,メールの左下部には「http://login.passport.net」と表示される。このリンクをクリックすると,写真4のページに誘導される。一見,「http://login.passport.net」のページに見えるが,実際は写真5のように別のURLのページである。
セキュリティ・ホールを突く方法はインターネット上で公開されている。悪用することは容易である。自分でアドレス・バーにURLを入力した場合などは問題ないが,他のWebページやHTMLメールから誘導された場合には,十分注意する必要がある。
また,信頼できないWebページやメール中のリンクは,安易にクリックしないようにしたい。リンク先には,今回のセキュリティ・ホールを突くようなページに限らず,どのようなページ(コンテンツ)が待っているか分からない。
(勝村 幸博=IT Pro)
