デンマークSecuniaなどは現地時間2月21日,Windows XP SP2で動作するInternet Explorer(IE)6に,ポップアップ・ウインドウのタイトル・バーを偽装される弱点があることを公表した。タイトル・バーに表示されるポップアップ・ウインドウのURLを,実際とは異なるURLに見せかけることができる。フィッシングなどに悪用可能な弱点である。

 フィッシングの常とう手段の一つが,偽サイトのアドレス・バーを非表示にすること(関連記事)。バックグラウンドに正規のWebページを表示させ,その前面にアドレス・バーを非表示にしたポップアップ・ウインドウを表示させる。こうすると,そのウインドウは正規のページからポップアップしたように見えるが,実際には偽サイトに置かれている。そのウインドウに個人情報を入力すると,偽サイトを運用するフィッシャ(フィッシングを試みる人物)に盗まれることになる。

 こういった偽装を防ぐために,Windows XP SP2のIEでは,アドレス・バーなしのポップアップ・ウインドウを表示する際には,そのURLをタイトル・バーに表示する。これ自体はセキュリティを高める仕様だが,弱点にもなりうるというのが,今回の報告である。

 具体的には,ポップアップ・ウインドウのURLを長くして,ウインドウの幅を小さくする。こうすれば,タイトル・バーにはURLの一部分しか表示されない。表示される部分を有名企業のURLにすれば,ユーザーをだますことができるというのだ。

 なお,XP SP2のIEには「ポップアップ・ブロック機能」が備わっているが,window.createPopup() によるポップアップ・ウインドウは,1ページあたり1つだけ許可されているので,今回のような偽装が可能となる。

 今回の弱点は,bitlance winter氏によってセキュリティ関連のメーリング・リストに投稿された。写真は,同氏が投稿したデモ・ページを表示させたもの(拡大表示)。ポップアップ・ウインドウのURLは「http://securelogin.citibank.com.e-gold.com/」だが,後ろの部分が見切れて「http://securelogin.citibank.com」に見える。

 対策は,「信頼できないリンクはクリックしない」など。今回の報告がIEの“弱点”と呼べるかどうかは議論が分かれるところだが,偽装が可能であることは確か。ユーザーとしては十分注意したい。

◎参考資料
Microsoft Internet Explorer Popup Title Bar Spoofing Weakness
WindowsXPSP2 script-initiated popup window titlebar spoofing

(勝村 幸博=IT Pro)