メール・ソフトOutlook Express/OutlookおよびEudoraに,リンクの飛び先を表示するステータス・バーを偽装できるセキュリティ・ホールがそれぞれ見つかっている。細工が施されたHTMLメール中のリンクをクリックすると,ステータス・バーに表示されているURLとは異なるサイトへ誘導されてしまう。オンライン詐欺「フィッシング」に悪用される可能性が高いセキュリティ・ホールである(関連記事)。修正パッチなどは公開されていないので,「メール中のリンクは安易にクリックしない」「HTMLメールをテキスト形式で表示させる」といった対策が必要。
これらのセキュリティ・ホールは,米国時間5月8日,セキュリティ関連のメーリング・リストなどで公表された。
HTMLメールやWebページ中のリンクが張られている文字列や画像にマウス・カーソルを当てると,メール・ソフトやブラウザのステータス・バーには,リンクの飛び先のURLが表示される。今回公開されたセキュリティ・ホールを突けば,実際の飛び先とは異なるURLをステータス・バーに表示させることが可能となる。つまり,ステータス・バーには信頼できるサイトのURLを表示させてユーザーをだまし,別のサイトへ誘導できる。
Outlook Express/Outlook(およびInternet Explorer)に見つかったセキュリティ・ホールを突くには,クライアント・サイドのイメージ・マップを利用する。写真は,セキュリティ・ホールの発見者であるhttp-equivが公開するデモである。HTMLメール中のURL「http://www.microsoft.com」はGIF画像で,この画像にマウス・カーソルを当てると,ステータス・バーには同じく「http://www.microsoft.com」と表示される。しかしながら,この画像をクリックすると,実際には「http://www.malware.com」へ誘導される。
なお,Outlook 2003はこのセキュリティ・ホールの影響を受けないという。
Eudoraに見つかったセキュリティ・ホールは,ベーシック認証のユーザーIDを含めた形式のURLを利用するもの。例えば,<a href="http://www.trust_site.com@www.malicious_site.com">http://www.trust_site.com</a>として,「www.trust_site.com」と「@www.malicious_site.com」の間に,ある文字列を多数挿入すれば,ステータス・バーには「http://www.trust_site.com」としか表示されなくなる。しかしながら,リンクをクリックすると,「www.malicious_site.com」に誘導される(「www.trust_site.com」という文字列は,ベーシック認証のユーザーIDとして,www.malicious_site.comに送信されるだけである)。
このセキュリティ・ホールを報告したBrett Glass氏によると,Eudora以外のメール・ソフトにも同様のセキュリティ・ホールが存在する可能性があるという。
これらのセキュリティ・ホールは悪用が容易なので,フィッシングやスパム・メールなどに利用される可能性が高い。ステータス・バーを過信してはいけない。「メール中のリンクは安易にクリックしない」「HTMLメールをテキスト形式で表示させる」――といった対策で自衛する必要がある。メールに記述されたURLにどうしてもアクセスしたい場合には,リンクをクリックせずに,ブラウザのアドレス・バーに自分で入力するくらいの慎重さがほしい。
◎参考資料
◆DEEP SEA PHISHING: Internet Explorer / Outlook Express
◆Status bar exploit hides spoofed URLs Eudora, possibly other e-mail clients
◆Microsoft Internet Explorer and Outlook URL Obfuscation Issue
◆Eudora URL Obfuscation Issue
(勝村 幸博=IT Pro)
