セキュリティ・ベンダーのデンマークSecuniaなどは6月30日,Internet Explorer(IE)に見つかったセキュリティ・ホールを公表した。Webページに細工を施すと,フレームを使った任意のWebコンテンツ中に,任意のコンテンツを表示させることが可能となる。つまり,細工が施されたページにIEでアクセスすると,悪意のあるコンテンツが埋め込まれた有名企業のWebページを表示させられる可能性がある。

 “フィッシング(メールを使った詐欺)”などに悪用可能なセキュリティ・ホールである。パッチは未公開なので,「信頼できないページにアクセスしない」「別のブラウザを使う」ことなどが対策となる。

 セキュリティ・ホールの発見者である「http-equiv」は,このセキュリティ・ホールを検証するためのデモを公開している(写真の拡大表示)。デモ・ページにIEでアクセスすると,Windows Updateのページが表示されるが,フレームのひとつには米Microsoftとは無関係のサイトのページが表示される。

 アドレス・バーを含めたWindows Updateの表示部分は,Microsoftが用意する“本物”のページである。今回のセキュリティ・ホールを突くようなページにIEでアクセスすると,そのページで指定したページ(デモでは「windowsupdate.microsoft.com」)のフレームに,同じくそのページで指定した別サイトのページ(デモでは「malware.com」)を埋め込んだ形で表示させられるのである。

 もちろん,IEの仕様ではこのようなことは許可していない。もし許せば,悪意のあるコンテンツ(例えば,個人情報を入力させて盗むようなコンテンツ)を,有名企業のページの一部に見せかけることが可能になってしまうからだ。1998年には,同じようなセキュリティ・ホールがIE 3.x/4.x に見つかったために,Microsoftはパッチを公開した。ところが,IE 5.x/6.x には依然存在するのである。このためSecuniaでは,「6 year old vulnerability」と記述している。

 当然のことながら,例えば「windowsupdate.microsoft.com」にアクセスした際に,悪意のあるコンテンツがフレームに埋め込まれて表示されるようなことはない。細工を施した悪意のあるページにアクセスした場合のみ,「有名企業のコンテンツ+悪意のあるコンテンツ」が同じ画面上に表示されるのである。このため,「怪しいページにアクセスしない/怪しいリンクをクリックしない」ことが対策となる。Secuniaでは,IE以外のブラウザを使うことも対策として挙げている。

 オンライン詐欺に悪用できる危険なセキュリティ・ホールである。IEユーザーは十分注意してほしい。

◎参考資料
Internet Explorer Frame Injection Vulnerability(デンマークSecunia)
Microsoft Security Program: Microsoft Security Bulletin (MS98-020)(米Microsoft)

(勝村 幸博=IT Pro)