• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

リンク先のURLを偽装できるセキュリティ・ホールがIEに,OEユーザーは特に注意

勝村幸博 2004/04/05 ITpro

 セキュリティ・ベンダーであるデンマークSecuniaなどは現地時間4月1日,Internet Explorer(IE)にステータス・バーを偽装できるセキュリティ・ホールがあることを公表した。HTMLメールのレンダリングにIEを使うOutlook Express(OE)も影響を受ける。パッチは未公開。対策は「怪しいリンクはクリックしないこと」や「HTMLメールをテキストで表示させる設定にすること」など。

 今回公表されたセキュリティ・ホールの“ポイント”は,スクリプトなどを使わずに偽装できること。IE(およびIEを使うOEなど)では,リンクにマウス・ポインタを当てると,左下にリンク先のURLが表示される。URLが表示されるこの部分がステータス・バーである。

 ステータス・バーの表示は,スクリプトなどを使えば偽装できる。このため,IEのセキュリティ設定が,スクリプトを解釈するような設定(例えば,デフォルト状態の「インターネット」ゾーン)である場合には,容易に偽装されてしまう。セキュリティ設定を厳しくしていない場合には,ステータス・バーの表示を過信してはいけない。

 逆に,セキュリティ設定が厳しい場合(例えば,デフォルト状態の「制限付きサイト」)には,スクリプトなどは解釈されないので,ステータス・バーの表示はある程度信頼できる。OEではデフォルトで「制限付きサイト」に設定されているので,以前見つかったセキュリティ・ホールがふさがれていれば,ステータス・バーの表示をある程度信頼できた(関連記事)。

 しかしながら,今回公表されたセキュリティ・ホールを使えば,スクリプトを使うことなくステータス・バーの表示を偽装できる。具体的には,フォーム・タグを使って偽装できる。このため,HTMLメールを制限付きサイトで表示するOEでも,ステータス・バーを偽装されてしまう恐れがある。

 今回のセキュリティ・ホールは,phishing(フィッシング)などに悪用される可能性が高い(関連記事)。OEユーザーは特に注意する必要がある。米Microsoftからは,セキュリティ情報やパッチは公開されていない。現在考えられる対策は,怪しいリンクはクリックしないこと。すべてのメールをテキスト形式で表示されることも有効な対策だ。HTMLメールは表現力が高い半面,ユーザーに見えない形で悪意がある細工を施せてしまう。

 セキュリティの観点からは,「いつもはテキスト形式で表示させて,問題がないHTMLメールを読む場合だけ,HTML形式で表示させる」といった使い方が望ましい。OEでは,「ツール」の「オプション」メニューで表示される「読み取り」タブの「メッセージはすべてテキスト形式で読み取る」で容易に切り替えられる。

Internet Explorer/Outlook Express Restricted Zone Status Bar Spoofing(デンマークSecunia)

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る