セキュリティ・ベンダーであるデンマークSecuniaなどは現地時間4月1日,Internet Explorer(IE)にステータス・バーを偽装できるセキュリティ・ホールがあることを公表した。HTMLメールのレンダリングにIEを使うOutlook Express(OE)も影響を受ける。パッチは未公開。対策は「怪しいリンクはクリックしないこと」や「HTMLメールをテキストで表示させる設定にすること」など。
今回公表されたセキュリティ・ホールの“ポイント”は,スクリプトなどを使わずに偽装できること。IE(およびIEを使うOEなど)では,リンクにマウス・ポインタを当てると,左下にリンク先のURLが表示される。URLが表示されるこの部分がステータス・バーである。
ステータス・バーの表示は,スクリプトなどを使えば偽装できる。このため,IEのセキュリティ設定が,スクリプトを解釈するような設定(例えば,デフォルト状態の「インターネット」ゾーン)である場合には,容易に偽装されてしまう。セキュリティ設定を厳しくしていない場合には,ステータス・バーの表示を過信してはいけない。
逆に,セキュリティ設定が厳しい場合(例えば,デフォルト状態の「制限付きサイト」)には,スクリプトなどは解釈されないので,ステータス・バーの表示はある程度信頼できる。OEではデフォルトで「制限付きサイト」に設定されているので,以前見つかったセキュリティ・ホールがふさがれていれば,ステータス・バーの表示をある程度信頼できた(関連記事)。
しかしながら,今回公表されたセキュリティ・ホールを使えば,スクリプトを使うことなくステータス・バーの表示を偽装できる。具体的には,フォーム・タグを使って偽装できる。このため,HTMLメールを制限付きサイトで表示するOEでも,ステータス・バーを偽装されてしまう恐れがある。
今回のセキュリティ・ホールは,phishing(フィッシング)などに悪用される可能性が高い(関連記事)。OEユーザーは特に注意する必要がある。米Microsoftからは,セキュリティ情報やパッチは公開されていない。現在考えられる対策は,怪しいリンクはクリックしないこと。すべてのメールをテキスト形式で表示されることも有効な対策だ。HTMLメールは表現力が高い半面,ユーザーに見えない形で悪意がある細工を施せてしまう。
セキュリティの観点からは,「いつもはテキスト形式で表示させて,問題がないHTMLメールを読む場合だけ,HTML形式で表示させる」といった使い方が望ましい。OEでは,「ツール」の「オプション」メニューで表示される「読み取り」タブの「メッセージはすべてテキスト形式で読み取る」で容易に切り替えられる。
◆Internet Explorer/Outlook Express Restricted Zone Status Bar Spoofing(デンマークSecunia)
(勝村 幸博=IT Pro)
