セキュリティ・ベンダーのデンマークSecuniaは現地時間5月13日,Webブラウザ「Opera」にアドレス・バーを偽装できるセキュリティ・ホールがあることを公表した。セキュリティ・ホールを悪用すると,現在アクセスしているWebページとは異なるURLをアドレス・バーに表示させることが可能となる。

 直接攻撃を受けるようなセキュリティ・ホールではないが,フィッシングなどに使われる可能性があるので要注意である(関連記事)。対策は,最新版のバージョン7.50にアップデートすること(関連記事)。ただし,7.50の日本語版は未公開。

 Operaは,リダイレクト(別のWebページに飛ばす命令)を要求されると,実際にリダイレクトできたかどうかとは無関係に,“とりあえず”アドレス・バーをリダイレクト先のURLにしてしまう――。これが今回のセキュリティ・ホールである。つまり,「リダイレクトを要求するが,その後,そのリダイレクトを取りやめるような命令を記述したWebページ」にアクセスすると,アドレス・バーは変更されるが,アクセスしているページ(サイト)はそのまま,といった状況が発生する。

 このセキュリティ・ホールを突いて,ユーザーのマシンを乗っ取ったり,ウイルスなどを送り込んだりすることはできない。しかし,罠を仕掛けたWebページにユーザーを誘導して,“仮”のリダイレクト先に信用できる企業のURLを指定しておけば,罠を仕掛けたページを信頼できる企業のページだと思わせることが可能となる。

 アドレス・バーやステータス・バーを偽装できるセキュリティ・ホールは,Internet ExplorerやOutlook Express,Eudoraなどにも見つかっている(関連記事1関連記事2関連記事3)。使用しているブラウザやメール・ソフトの種類にかかわらず,十分注意してほしい。

◎参考資料
Opera Browser Address Bar Spoofing Vulnerability(Secunia)

(勝村 幸博=IT Pro)