セキュリティ・ベンダーのデンマークSecuniaは現地時間6月22日，Webブラウザ「Opera」にアドレス・バーを偽装されるセキュリティ・ホールがあることを公表した。Webページを“工夫”すると，実際にアクセスしているサイトとは異なるURLをアドレス・バーに表示させられる。オンライン詐欺（例えば，フィッシング）に悪用される可能性があるので，十分注意したい。

　セキュリティ・ホールを発見したのはSecuniaではない。6月18日ごろ，セキュリティ関連のメーリング・リストなどに投稿された。写真は，投稿されたHTMLのソースをOpera 7.51 for Windows（英語版）で表示させたもの。実在しないURL「https://pizza.opera.com/order.html」がアドレス・バーに表示されている。アドレス・バーを見る限りでは，ノルウェーOpera Softwareのページに思えるが，実際は全く別のサイトのページである。表示されているアドレス・バーは，スクリプトやHTML（iframeなど）で作られた偽物である。

　Secuniaの情報では，「Windows版のOpera 7.51でセキュリティ・ホールを確認したが，別のバージョンも影響を受けるだろう」としているが，Opera 7.23 for Windows（日本語版）を使って編集部で試したところ，写真のような偽装は確認できなかった（もちろん，投稿されたHTMLでは偽装できなかっただけで，セキュリティ・ホールが存在する可能性は十分にある）。

　パッチや修正版は公開されていない。対策は，とにかく怪しいリンクをクリックしないことと，安易に個人情報などを入力しないこと。Secuniaでは，「URLはアドレス・バーに直接入力する」，「信頼できないソース（Webページやメール）中のリンクをクリックしない」――ことを，対策として挙げている。また，Operaの設定でJavaScriptを無効にすれば，偽装アドレス・バーは表示されない。

　Operaに限らず，Webブラウザには“見た目”を偽装できるセキュリティ・ホールが次々と見つかっている。十分注意しよう。

◎参考資料
◆Opera Address Bar Spoofing Security Issue（Secunia）

（勝村　幸博＝IT Pro）