 |
デンマークSecuniaは現地時間12月8日,主なWebブラウザ――Internet Explorer(IE)やMozilla/Mozilla Firefox,Opera,Safari,Konqueror――に見つかったセキュリティ・ホールを公表した。信頼できる有名サイトが表示するポップアップ・ウインドウを“乗っ取って”,そのウインドウに第三者のサイトのページ(コンテンツ)を表示させることができる。オンライン詐欺に悪用可能なセキュリティ・ホールなので注意したい。
【12月9日追記】Secuniaは,Netscapeにも同様のセキュリティ・ホールがあることを明らかにした。【以上,12月9日追記】
Secuniaは,このセキュリティ・ホールを使ったデモ・ページを公開している。Secuniaのサイトに置かれたデモ・ページにユーザーがアクセスし,その後,米Citibankのページを別ウインドウで表示する。そして,特定のポップアップ・ウインドウにリンクが張られたCitibankのページ中の画像をクリックすると,Secuniaのサイトに置かれたポップアップ・ウインドウが“なぜか”表示されてしまう(上写真はIEを使ったデモ。拡大表示はこちら)。これが,今回のセキュリティ・ホールである。
ポップアップ・ウインドウをブロックする設定にしている場合や,ポップアップ・ウインドウをブロックするツールを使っている場合でも,同様の“攻撃”が可能である(Firefoxによるデモ結果はこちら)。
Secuniaの情報によると,このセキュリティ・ホールを突いた攻撃を“成功”させるには,ユーザーを攻撃者のサイトへ誘導する必要がある。つまり,(1)まずは,ユーザーのブラウザに攻撃者のページを表示させる。そして,(2)別のブラウザ・ウインドウに,信頼できるサイトのページを表示させる。この状態で,ユーザーが信頼できるサイトのページでポップアップ・ウインドウを表示させた場合,(3)そのウインドウに,(信頼できるサイトのページではなく)攻撃者が意図するページを表示させることができる(右写真はSecuniaが公開する流れ図。拡大表示はこちら)。
これを悪用すれば,「ポップアップ・ウインドウに,攻撃者のサイトに置かれた本物に見せかけたフォームを表示させ,個人情報を入力させる」といったオンライン詐欺が可能となる。ユーザーとしては十分注意したい。
Secuniaは,今回のセキュリティ・ホールが見つかったブラウザの各ベンダーへ11月19日に報告したという。いずれのベンダーからも,この件に関する情報やパッチ,修正版などは公開されていない模様。
Secuniaでは「信頼できるサイトを閲覧しているときには,信頼できないサイトを閲覧しない(Do not browse untrusted sites while browsing trusted sites)」ことを対策として挙げている。
◎参考資料
◆Multiple Browsers Window Injection Vulnerability
◆Multiple Browsers Window Injection Vulnerability Test
◆Mozilla / Mozilla Firefox Window Injection Vulnerability
◆Microsoft Internet Explorer Window Injection Vulnerability
◆Safari Window Injection Vulnerability
◆Opera Window Injection Vulnerability
◆Konqueror Window Injection Vulnerability
(勝村 幸博=IT Pro)
