 |
米国時間10月28日以降,セキュリティ関連のメーリング・リストなどで,Internet Explorer(IE)のステータス・バーを偽装する手法(セキュリティ・ホール)が複数公開されて議論を呼んだ。アクティブスクリプトを無効にしていても偽装可能なので,IEを「制限付きサイト」ゾーンで利用するOutlook ExpressやOutlookといったメール・ソフトも影響を受ける。
【11月2日追記】Secuniaによれば,Webブラウザ「Safari 1.x」にも同様のセキュリティ・ホールがあるという。【以上,11月2日追記】
ステータス・バーとは,IEやOutlook Express/Outlookの左下にある表示部分。HTMLのリンクにマウス・カーソルをあてると,ステータス・バーにはリンク先のURLが表示される。JavaScriptなどを使えば,ステータス・バーの表示はいくらでも変更できるので,アクティブスクリプトを有効にしているIEでは,ステータス・バーの表示は信用できない。しかし,アクティブスクリプトを無効にしているIEや,HTMLを「制限付きサイト」ゾーンで解釈するOutlook Expressなどでは,ステータス・バーの表示はある程度信用できた。
ところが,今回公開された2種類の方法を使えば,スクリプトを使わなくてもステータス・バーを偽装できる。まず1つは,HTMLのテーブル・タグを使う方法。この方法の発見者によると,IEでは,テーブル・タグやほかのリンク・タグが含まれていると,リンクを適切に扱えない(正しいリンクをステータス・バーに表示できない)という。右上写真は,この方法を使ったデモ・ページ(拡大表示)。ステータス・バーに表示されているのは「http://www.microsoft.com/」だが,リンクをクリックすると,米Googleのページ「http://www.google.com/」が表示される。
編集部では未確認だが,メーリング・リストの議論によると,Windows XP SP2ではこの方法は“機能”しないようだ。
もう1種類はHTMLのフォーム・タグを使用する方法。右写真は,発見者であるhttp-equivによるデモ・ページ(拡大表示)。ステータス・バーには「http://www.microsoft.com/」が表示されているが,クリックすると,「http://www.malware.com/」のページが表示される。この方法については,パッチをすべて適用したWindows XP SP2のIE 6でも“機能”するという。
これら以外にも,スクリプトを使わずにステータス・バーを偽装する方法(セキュリティ・ホール)はいくつかある(関連記事)。実際,フィッシング目的の偽メールでよく使われている(関連記事)。ステータス・バーの表示を過信しないようにしたい。
◎参考資料
◆Quick status bar spoofing example
◆New URL spoofing bug in Microsoft Internet Explorer
◆mwaresoft.html
(勝村 幸博=IT Pro)
