• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

IEにセキュリティ・ホール,フレーム中に任意のコンテンツを表示させられる

有名企業のWebページに偽ページを埋め込むことが可能に

勝村幸博 2004/06/30 ITpro

 セキュリティ・ベンダーのデンマークSecuniaなどは6月30日,Internet Explorer(IE)に見つかったセキュリティ・ホールを公表した。Webページに細工を施すと,フレームを使った任意のWebコンテンツ中に,任意のコンテンツを表示させることが可能となる。つまり,細工が施されたページにIEでアクセスすると,悪意のあるコンテンツが埋め込まれた有名企業のWebページを表示させられる可能性がある。

 “フィッシング(メールを使った詐欺)”などに悪用可能なセキュリティ・ホールである。パッチは未公開なので,「信頼できないページにアクセスしない」「別のブラウザを使う」ことなどが対策となる。

 セキュリティ・ホールの発見者である「http-equiv」は,このセキュリティ・ホールを検証するためのデモを公開している(写真の拡大表示)。デモ・ページにIEでアクセスすると,Windows Updateのページが表示されるが,フレームのひとつには米Microsoftとは無関係のサイトのページが表示される。

 アドレス・バーを含めたWindows Updateの表示部分は,Microsoftが用意する“本物”のページである。今回のセキュリティ・ホールを突くようなページにIEでアクセスすると,そのページで指定したページ(デモでは「windowsupdate.microsoft.com」)のフレームに,同じくそのページで指定した別サイトのページ(デモでは「malware.com」)を埋め込んだ形で表示させられるのである。

 もちろん,IEの仕様ではこのようなことは許可していない。もし許せば,悪意のあるコンテンツ(例えば,個人情報を入力させて盗むようなコンテンツ)を,有名企業のページの一部に見せかけることが可能になってしまうからだ。1998年には,同じようなセキュリティ・ホールがIE 3.x/4.x に見つかったために,Microsoftはパッチを公開した。ところが,IE 5.x/6.x には依然存在するのである。このためSecuniaでは,「6 year old vulnerability」と記述している。

 当然のことながら,例えば「windowsupdate.microsoft.com」にアクセスした際に,悪意のあるコンテンツがフレームに埋め込まれて表示されるようなことはない。細工を施した悪意のあるページにアクセスした場合のみ,「有名企業のコンテンツ+悪意のあるコンテンツ」が同じ画面上に表示されるのである。このため,「怪しいページにアクセスしない/怪しいリンクをクリックしない」ことが対策となる。Secuniaでは,IE以外のブラウザを使うことも対策として挙げている。

 オンライン詐欺に悪用できる危険なセキュリティ・ホールである。IEユーザーは十分注意してほしい。

◎参考資料
Internet Explorer Frame Injection Vulnerability(デンマークSecunia)
Microsoft Security Program: Microsoft Security Bulletin (MS98-020)(米Microsoft)

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る