• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

IEのステータス・バーを偽装する手法が複数公開される

勝村幸博 2004/11/01 ITpro

 米国時間10月28日以降,セキュリティ関連のメーリング・リストなどで,Internet Explorer(IE)のステータス・バーを偽装する手法(セキュリティ・ホール)が複数公開されて議論を呼んだ。アクティブスクリプトを無効にしていても偽装可能なので,IEを「制限付きサイト」ゾーンで利用するOutlook ExpressやOutlookといったメール・ソフトも影響を受ける。

【11月2日追記】Secuniaによれば,Webブラウザ「Safari 1.x」にも同様のセキュリティ・ホールがあるという。【以上,11月2日追記】

 ステータス・バーとは,IEやOutlook Express/Outlookの左下にある表示部分。HTMLのリンクにマウス・カーソルをあてると,ステータス・バーにはリンク先のURLが表示される。JavaScriptなどを使えば,ステータス・バーの表示はいくらでも変更できるので,アクティブスクリプトを有効にしているIEでは,ステータス・バーの表示は信用できない。しかし,アクティブスクリプトを無効にしているIEや,HTMLを「制限付きサイト」ゾーンで解釈するOutlook Expressなどでは,ステータス・バーの表示はある程度信用できた。

 ところが,今回公開された2種類の方法を使えば,スクリプトを使わなくてもステータス・バーを偽装できる。まず1つは,HTMLのテーブル・タグを使う方法。この方法の発見者によると,IEでは,テーブル・タグやほかのリンク・タグが含まれていると,リンクを適切に扱えない(正しいリンクをステータス・バーに表示できない)という。右上写真は,この方法を使ったデモ・ページ(拡大表示)。ステータス・バーに表示されているのは「http://www.microsoft.com/」だが,リンクをクリックすると,米Googleのページ「http://www.google.com/」が表示される。

 編集部では未確認だが,メーリング・リストの議論によると,Windows XP SP2ではこの方法は“機能”しないようだ。

 もう1種類はHTMLのフォーム・タグを使用する方法。右写真は,発見者であるhttp-equivによるデモ・ページ(拡大表示)。ステータス・バーには「http://www.microsoft.com/」が表示されているが,クリックすると,「http://www.malware.com/」のページが表示される。この方法については,パッチをすべて適用したWindows XP SP2のIE 6でも“機能”するという。

 これら以外にも,スクリプトを使わずにステータス・バーを偽装する方法(セキュリティ・ホール)はいくつかある(関連記事)。実際,フィッシング目的の偽メールでよく使われている(関連記事)。ステータス・バーの表示を過信しないようにしたい。

◎参考資料
Quick status bar spoofing example
New URL spoofing bug in Microsoft Internet Explorer
mwaresoft.html

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る