6月11日以降,Internet Explorer(IE)やMozillaに見つかったセキュリティ・ホールがメーリング・リストなどに投稿されている。悪用されると,実際アクセスしているサイトとは異なるURLをアドレス・バーに表示させられる。IEの場合には,「インターネットゾーン」のページを,制限が緩い「イントラネット」ゾーンや「信頼済みサイト」ゾーンで解釈させられる恐れがある。オンライン詐欺である「フィッシング」に悪用される可能性が高いセキュリティ・ホールである(関連記事)。対策は,とにかく「怪しいリンクをクリックしない」「リンクで誘導されたWebページに,個人情報を安易に入力しない」ことに尽きる。
セキュリティベンダーであるデンマークSecuniaは,これらのセキュリティ・ホールに関する情報をWebページで公開している(情報1,情報2)。同社の情報によると,IE 6やMozilla 1.xには,URLの取り扱いに問題がある。このため,例えば,リンクに含めたURLに細工を施せば,そのリンクをクリックしたユーザーのIEやMozillaのアドレス・バーに,実際アクセスしているページとは異なるURLをアドレス・バーに表示させられる。
具体的には,「http://[trusted_site](ある文字列)[malicious_site]/」とすれば,アドレス・バーには「http://[trusted_site](任意のスペース)[malicious_site]」のように表示させられる。このため,実際にアクセスしているのはmalicious_siteのページだが,trusted_siteのページにアクセスしているように見える。
しかもIEの場合には,単にアドレス・バーを偽装されるだけではなく,セキュリティ設定を回避される可能性がある。上述の例では,アクセスしているサイトがmalicious_siteであっても,trusted_siteのセキュリティ設定が適用されるからだ。具体的には,malicious_siteのページがインターネットゾーンのページであっても,trusted_siteをイントラネットゾーンやの信頼済みサイトゾーンに登録している場合には,イントラネットゾーンや信頼済みサイトゾーンのページとしてmalicious_siteのページが解釈されてしまう。
とはいえ,どのサイトでも今回のセキュリティ・ホールを悪用できるわけではない。上記の例では,malicious_siteのドメインがwildcard DNSをサポートしていて,なおかつ不適切な「Host」ヘッダーを受け入れる場合のみ,悪用が可能であるという。
アドレス・バーなどを偽装するセキュリティ・ホールは次々と見つかっている。このため,ベンダーの修正パッチが追いついていないのが現状だ。今後も同様のセキュリティ・ホールは見つかるだろう。ユーザーとしては,怪しいリンクをクリックしないことはもちろん,アドレス・バーなどの「見た目」を過信しないことが重要だ。Secuniaでは,対策として「信頼できないWebページやメールのリンクはクリックしない」「アドレス・バーのURLは手で入力する」ことを挙げている。IEについては,「すべてのゾーンでセキュリティ・レベルを『高』にする」ことも挙げているが,Secunia自身が「This will impair functionality on many web sites」と書いているように,あまり現実的ではないだろう。
◎参考資料
◆Internet Explorer Security Zone Bypass and Address Bar Spoofing Vulnerability(Secunia)
◆Mozilla Browser Address Bar Spoofing Weakness(Secunia)
(勝村 幸博=IT Pro)
