デンマークのSecuniaは7月1日，MozillaやOpera，NetscapeなどのWebブラウザに見つかったセキュリティ・ホールを公表した。6月末に公表したInternet Explorer（IE）のセキュリティ・ホールと同じもの（関連記事）。Webページに細工を施すと，フレームを使った任意のWebコンテンツ中に，任意のコンテンツを表示させることが可能となる。“フィッシング（メールを使った詐欺）”などに悪用可能なセキュリティ・ホールなので十分注意したい（関連記事）。

　Secuniaは，以下のブラウザに今回のセキュリティ・ホールがあることを確認している（IEに関する同様のセキュリティ・ホールについては，6月30日に公表している）。

• Opera 7.51 for Windows
• Opera 7.50 for Linux
• Mozilla 1.6 for Windows
• Mozilla 1.6 for Linux
• Mozilla Firebird 0.7 for Linux
• Mozilla Firefox 0.8 for Windows
• Netscape 7.1 for Windows
• Internet Explorer for Mac 5.2.3
• Safari 1.2.2
• Konqueror 3.1-15redhat

　同社では，それぞれほかのバージョンも影響を受けるだろうとしている。

　影響を受けないことを確認しているのは，以下のブラウザである。

• Mozilla Firefox 0.9 for Windows
• Mozilla Firefox 0.9.1 for Windows
• Mozilla 1.7 for Windows
• Mozilla 1.7 for Linux

　Secuniaでは，今回のセキュリティ・ホールの有無を確認するためのデモ・ページを用意している。写真は，Opera 7.23 for Windows日本語版でデモを表示させたもの（写真の拡大表示）。Secuniaのページが，米Microsoftのページの一部に見える。

　このセキュリティ・ホールを悪用すれば，Webページを容易に偽装できる。例えば，個人情報を入力させて盗むようなページを，有名企業のWebページの一部に見せかけられる。そのためには，細工を施したWebページにユーザーを誘導する必要があるが，誘導に“成功”さえすれば，ユーザーがだまされる可能性は高い。

　対策は，一般的なフィッシング対策と同じで，とにかく「怪しいページにアクセスしない／怪しいリンクをクリックしない」こと。細工を施したページにアクセスしなければ，「有名企業のコンテンツ＋悪意のあるコンテンツ」が同じ画面上に表示されることはない。個人情報を入力するようなページには，リンクをたどってアクセスするのではなく，自分でアドレス・バーにURLを入力してアクセスするようにしたい。

◎参考資料
◆Multiple Browsers Frame Injection Vulnerability（Secunia）

（勝村　幸博＝IT Pro）