セキュリティ関連のメーリング・リスト「Bugtraq」に米国時間7月11日,Internet Explorer(IE)のダイアログ表示をポップアップ・ウインドウで偽装する方法が投稿された。実行形式の危険なファイルを安全なファイルに見せかけることができる。IEでファイルをダウンロードするときには十分注意が必要だ。ダイアログで,安易に「開く」を選択してはいけない。
投稿されたデモでは,ファイルのダウンロード時に表示されるダイアログ上にポップアップ・ウインドウを表示して,ファイル名とファイル種類を偽装している。写真は,デモ・ページをIE 6 SP1+Windows XP SP1の環境で開いたもの(写真の拡大表示)。ポップアップ・ウインドウにより,実際には,ファイル名が「badfile.exe」でファイルの種類が「アプリケーション」のファイルを,それぞれ「sexycoeds.jpg」および「JPEG Image」に見せかける。この表示にだまされて「開く」をクリックすると,badfile.exeがダウンロードされて実行されてしまう。
ポップアップ・ウインドウ(JavaScriptの「window.createPopup()」メソッド)を使った偽装は,目新しいものではない。George Guninski氏により,2001年10月に報告されている。このときの対象はIE 5.5/6およびそれ以前のバージョンだったが,今回の投稿では IE 6 SP1+Windows XP SP2の環境で確認したという。
Windows XP SP2ではIEに関するセキュリティが大幅に強化されている。そのひとつが,ポップアップ・ウインドウの表示制限である。ただし,window.createPopup() によるポップアップ・ウインドウは,1ページあたり1つだけ許可される。このため,今回の投稿にあるような偽装方法は,XP SP2でも依然“有効”である。
対策はアクティブスクリプトを無効にすること。無効にすれば,ポップアップ・ウインドウは開かない。
IEでは,危険なファイルをダウンロードしてしまわないよう,リンク先がファイルの場合には,デフォルトでダイアログが表示される。とはいえ,いくらダイアログが表示されても,ユーザーが安易に「開く」をクリックしてしまっては意味が無い。「信頼できないファイルはダウンロードしない」「信頼できないリンクはクリックしない」「今回のような偽装にだまされない」――ようにすることはもちろんのこと,どのようなファイルをダウンロードする場合でも,「開く」ではなく「保存」を選択するように習慣付けたい。
◎参考資料
◆MSIE Download Window Filename + Filetype Spoofing Vulnerability(Bugtraq)
◆Javascript in IE may spoof the whole screen(Georgi Guninski氏のサイト)
◆Web サイト構築における Microsoft Windows XP Service Pack 2 (SP2) への対応について(マイクロソフト)
(勝村 幸博=IT Pro)
