イスラエルのGreyMagic Softwareは現地時間6月3日,Webブラウザ「Opera」にアドレス・バーを偽装できるセキュリティ・ホールがあることを明らかにした。Opera 7.xには,Webサーバーに置かれたファビコン(favicon)をアドレス・バーに表示する機能があるが,他のブラウザとは異なり,ファビコンのサイズをチェックせずに表示する。このため,URLを画像として含む横長のファビコンを表示させて,ユーザーを欺くことができる。対策はOpera 7.51にアップデートすること。ただし,日本語版はまだリリースされていない。
Internet Explorer(IE)には,ユーザーが特定のWebページ(URL)を「お気に入り(favorites)」に登録した際に,そのページの製作者が意図する画像(アイコン)を「お気に入り」メニューに表示させられる機能がある(マイクロソフトの技術情報)。このアイコンを「ファビコン(favicon:Favorite Iconの略)」などと呼ぶ。具体的には,ユーザーが「お気に入り」に登録しようとすると,IEはそのWebサイトに置かれたファビコン(例えば,favicon.ico)を取得し,「お気に入り」に表示する。ファビコンが置かれていないページでは,デフォルトのアイコン(IEのマーク)が表示される。
一度ファビコンが取得されれば,次にそのページにアクセスした際には,アドレス・バーにも,そのファビコンは表示されるようになる。この機能はIE独自のものであり,IEだけがサポートしていた。
しかし最近では,Operaなどの他のブラウザも,この機能をサポートしている。Operaの場合にはIEとは異なり,「ブックマーク」に登録しなくても,ファビコンが置かれているサイトのページにアクセスすれば,アドレス・バーには自動的にファビコンが表示される。今回,Operaのこの機能に,セキュリティ・ホールが見つかった。
IEなどでは,ファビコンに使える画像サイズに制限があるが,Operaには制限はない。つまり,画像のサイズをチェックしないのである。これが,今回公表されたセキュリティ・ホールである。このため,横長の画像をファビコンとしてアドレス・バーに表示させられてしまう。横長のファビコン中に,画像としてURLを記述しておけば,それはそのままアドレス・バーに表示されるので,ユーザーには現在アクセスしているページのURLのように見える。
写真は,GreyMagic Softwareが公開するデモ・ページにOpera7.11日本語版でアクセスした際のアドレス・バーの表示である。実際には,同社のサイト「http://www.greymagic.com」に置かれたページにアクセスしているのだが,「http://www.this-is-a-fake.address」にアクセスしているように見える。アドレス・バーにマウス・カーソルを当てると分かるが,この文字列は画像であり,ファビコンの一部である。
ノルウェーOpera Softwareでは,このセキュリティ・ホールを修正した最新版Opera 7.51を現地時間6月3日にリリースした。しかしながら,リリースされたのは英語版だけで,日本語版の最新版は7.23である。このセキュリティ・ホール自体は,直接攻撃を許すようなものではないので,7.23以前を使っていても慌てる必要はない。とはいえ,“フィッシング”などのオンライン詐欺に悪用することは可能なので,このようなセキュリティ・ホールがあることを認識し,十分注意してほしい(関連記事)。
◎参考資料
◆GreyMagic Security Advisory GM#007-OP(GreyMagic Software)
◆Opera 7.51 for Windows Changelog(Opera Software)
◆Opera Browser Favicon Displaying Address Bar Spoofing Vulnerability(Secunia)
(勝村 幸博=IT Pro)
