デンマークSecuniaなどは現地時間2月21日,Windows XP SP2で動作するInternet Explorer(IE)6に,ポップアップ・ウインドウのタイトル・バーを偽装される弱点があることを公表した。タイトル・バーに表示されるポップアップ・ウインドウのURLを,実際とは異なるURLに見せかけることができる。フィッシングなどに悪用可能な弱点である。
フィッシングの常とう手段の一つが,偽サイトのアドレス・バーを非表示にすること(関連記事)。バックグラウンドに正規のWebページを表示させ,その前面にアドレス・バーを非表示にしたポップアップ・ウインドウを表示させる。こうすると,そのウインドウは正規のページからポップアップしたように見えるが,実際には偽サイトに置かれている。そのウインドウに個人情報を入力すると,偽サイトを運用するフィッシャ(フィッシングを試みる人物)に盗まれることになる。
こういった偽装を防ぐために,Windows XP SP2のIEでは,アドレス・バーなしのポップアップ・ウインドウを表示する際には,そのURLをタイトル・バーに表示する。これ自体はセキュリティを高める仕様だが,弱点にもなりうるというのが,今回の報告である。
具体的には,ポップアップ・ウインドウのURLを長くして,ウインドウの幅を小さくする。こうすれば,タイトル・バーにはURLの一部分しか表示されない。表示される部分を有名企業のURLにすれば,ユーザーをだますことができるというのだ。
なお,XP SP2のIEには「ポップアップ・ブロック機能」が備わっているが,window.createPopup() によるポップアップ・ウインドウは,1ページあたり1つだけ許可されているので,今回のような偽装が可能となる。
今回の弱点は,bitlance winter氏によってセキュリティ関連のメーリング・リストに投稿された。写真は,同氏が投稿したデモ・ページを表示させたもの(拡大表示)。ポップアップ・ウインドウのURLは「http://securelogin.citibank.com.e-gold.com/」だが,後ろの部分が見切れて「http://securelogin.citibank.com」に見える。
対策は,「信頼できないリンクはクリックしない」など。今回の報告がIEの“弱点”と呼べるかどうかは議論が分かれるところだが,偽装が可能であることは確か。ユーザーとしては十分注意したい。
◎参考資料
◆Microsoft Internet Explorer Popup Title Bar Spoofing Weakness
◆WindowsXPSP2 script-initiated popup window titlebar spoofing
(勝村 幸博=IT Pro)