2003/12/11

記事一覧へ >>

　12月10日以降，「Bugtraq」などのセキュリティ関連メーリング・リストでは，Internet Explorer（IE）に見つかった新しいセキュリティ・ホールが話題になっている。セキュリティ・ホールに関する情報やパッチはMicrosoftからは公開されていない。URLに細工を施すと，実際のURLとは異なるURLをアドレス・バーに表示させることができる。

写真1●Microsoftのページに見せかけたページ

写真2●写真1のページの実際のURL

写真3●Microsoftのページに見せかけたページに誘導するHTMLメール

写真4●Microsoftのページに見せかけたページ

写真5●写真4のページの実際のURL

　実際のURLは「ファイル」メニューの「プロパティ」などから確認できる。他のWebサイトやHTMLメールから誘導されたWebページで個人情報などを入力する際には，アドレス・バーに表示されるURLが信頼できるサイトのものでも，念のために確認したい。また，信頼できないWebサイトやHTMLメールのリンクは安易にクリックすべきではない。

【12月15日追記／訂正】今回のセキュリティ・ホールを突けば，「プロパティ」情報のURLも偽装できることが明らかとなっている。このため，「プロパティ」で表示されるURLも信用できない場合がある。「信頼できないWebサイトやHTMLメールのリンクはクリックしない」を実践して回避する必要がある。【以上，12月15日追記／訂正】

　今回明らかにされたセキュリティ・ホールは，URLに「%01」や「@」などを含められると，URLの一部分しかアドレス・バーに表示しないというもの。これを“利用”すれば，悪意があるWebページを，信頼できる企業／組織のWebページに見せかけることが可能となる。

　セキュリティ・ホールを確認するためのWebサイトやHTMLメールがいくつか公開されている。例えば写真1では，アドレス・バーに「http://www.microsoft.com」と表示されているが，実際のURLは，「ファイル」メニュー（あるいはマウスの右クリック）から選択した「プロパティ」で表示される，写真2のURL（アドレス）である。

　写真1および2は，別のWebページから，Microsoftのページに見せかけたページに誘導する例である。HTMLメールから誘導する例も公開されている。

　写真3のHTMLメール中のリンクにマウス・ポインタを当てると，メールの左下部には「http://login.passport.net」と表示される。このリンクをクリックすると，写真4のページに誘導される。一見，「http://login.passport.net」のページに見えるが，実際は写真5のように別のURLのページである。

　セキュリティ・ホールを突く方法はインターネット上で公開されている。悪用することは容易である。自分でアドレス・バーにURLを入力した場合などは問題ないが，他のWebページやHTMLメールから誘導された場合には，十分注意する必要がある。

　また，信頼できないWebページやメール中のリンクは，安易にクリックしないようにしたい。リンク先には，今回のセキュリティ・ホールを突くようなページに限らず，どのようなページ（コンテンツ）が待っているか分からない。

（勝村　幸博＝IT Pro）