デンマークSecuniaは7月30日,Webブラウザ「Mozilla」や「Mozilla Firefox」のセキュリティ・ホールを公表した。セキュリティ・ホールを悪用すれば,アドレス・バーやツール・バー,SSLダイアログといったユーザー・インターフェースを偽装することができる。最新版も影響を受け,修正版などは公開されていない。Secuniaでは,「信頼できないサイトのリンクはクリックしない」ことを対策として挙げている。また,JavaScriptを無効にすれば偽装を防げる。

 今回のセキュリティ・ホールは,まず「Bugzilla」報告された。Bugzillaとは,Mozillaユーザーがバグを報告するためのシステム(サイト)。Secuniaでは,その内容を検証した上で,同社のサイトで公表した。

 同社では,Mozilla 1.7 for Linux,Mozilla Firefox 0.9.1 for Linux,Mozilla 1.7.1 for Windows,Mozilla Firefox 0.9.2 for Windows――に,今回のセキュリティ・ホールが存在することを確認したという。これら以前のバージョンにも,同様のセキュリティ・ホールがあるだろうとしている。

 今回のセキュリティ・ホールは,MozillaやMozilla Firefoxが,Webサイトに置かれたXUL(XML User Interface Language)ファイルを制限なく読み込んでしまうことが原因である。XULとは,ユーザー・インタフェースを記述するためのマークアップ言語。Mozillaなどは,XULファイルの内容に従ってユーザー・インタフェース部分を表示する。このため,細工を施したXULファイルを読み込ませれば,任意のインタフェースを表示させることが可能となる。例えば,悪意のあるユーザーが用意したページを,有名サイトの個人情報入力ページに見せかけられる。

 偽装できるのはアドレス・バーに限らない。ツール・バーや,SSL通信が行われていることを示す錠マークなども偽装できる。錠マークをクリックして表示されるデジタル証明書も偽装できる。写真は,インターネット上で公開されているデモを,Mozilla Firefox 0.9.2 for Windowsで表示させたもの(写真の拡大表示)。デモ・ページに用意されたリンクをクリックすると,米PayPalに見せかけたページが表示される。アドレス・バーには正規のURLが表示されている。左下にはSSLの錠マークも表示される。

 現時点では修正版は公開されていないが,今までの対応を見る限り,近日中に修正版が公開されると考えられる。Mozillaに限らず,OperaやInternet Explorerでも,見た目を偽装できるセキュリティ・ホールは次々と見つかっている(関連記事)。今後も見つかることが予想される。「信頼できないサイトのリンクは安易にクリックしない」「個人情報は安易に入力しない」――ことが重要だ。とにかく,見た目を過信しないように心がけたい。

◎参考資料
Mozilla / Mozilla Firefox User Interface Spoofing Vulnerability(Secunia)
Untrusted web content can display content using "chrome" flag in window.open(Bugzilla)
weak XUL security allows chrome UI spoofing ("phishing" attack)(Bugzilla)

(勝村 幸博=IT Pro)