セキュリティ・ベンダーのデンマークSecuniaは現地時間6月22日,Webブラウザ「Opera」にアドレス・バーを偽装されるセキュリティ・ホールがあることを公表した。Webページを“工夫”すると,実際にアクセスしているサイトとは異なるURLをアドレス・バーに表示させられる。オンライン詐欺(例えば,フィッシング)に悪用される可能性があるので,十分注意したい。

 セキュリティ・ホールを発見したのはSecuniaではない。6月18日ごろ,セキュリティ関連のメーリング・リストなどに投稿された。写真は,投稿されたHTMLのソースをOpera 7.51 for Windows(英語版)で表示させたもの。実在しないURL「https://pizza.opera.com/order.html」がアドレス・バーに表示されている。アドレス・バーを見る限りでは,ノルウェーOpera Softwareのページに思えるが,実際は全く別のサイトのページである。表示されているアドレス・バーは,スクリプトやHTML(iframeなど)で作られた偽物である。

 Secuniaの情報では,「Windows版のOpera 7.51でセキュリティ・ホールを確認したが,別のバージョンも影響を受けるだろう」としているが,Opera 7.23 for Windows(日本語版)を使って編集部で試したところ,写真のような偽装は確認できなかった(もちろん,投稿されたHTMLでは偽装できなかっただけで,セキュリティ・ホールが存在する可能性は十分にある)。

 パッチや修正版は公開されていない。対策は,とにかく怪しいリンクをクリックしないことと,安易に個人情報などを入力しないこと。Secuniaでは,「URLはアドレス・バーに直接入力する」,「信頼できないソース(Webページやメール)中のリンクをクリックしない」――ことを,対策として挙げている。また,Operaの設定でJavaScriptを無効にすれば,偽装アドレス・バーは表示されない。

 Operaに限らず,Webブラウザには“見た目”を偽装できるセキュリティ・ホールが次々と見つかっている。十分注意しよう。

◎参考資料
Opera Address Bar Spoofing Security Issue(Secunia)

(勝村 幸博=IT Pro)