パッチが公開されないIEのセキュリティ・ホール

勝村幸博

2004.07.15

　　Internet Explorer（IE）のセキュリティ・ホールが次々と見つかっている。米Microsoft以外のベンダーやユーザーなどによって見つけられ，メーリング・リストやWebサイトなどで公開されている（写真は，フレームを使った任意のWebコンテンツ中に，任意のコンテンツを表示させられるセキュリティ・ホールのデモ。6月に公表された）。

　Microsoftはパッチを作成して公開しているが，セキュリティ・ホールが見つかる速度に追いついていない。パッチが公開されていないセキュリティ・ホールは増える一方だ。IEユーザーとしては，「セキュリティ設定をできるだけ厳しくする」「怪しいサイトにはアクセスしない／怪しいリンクはクリックしない」「HTMLメールはテキスト形式で表示させるようにする」「別のブラウザを併用する／別のブラウザを使う」――といった自衛手段を講じる必要がある（関連記事）。

　他のブラウザにもセキュリティ・ホールは見つかっているので，「IE以外なら安全」というわけではない。また，上記のようにセキュリティ設定や心がけ次第で，IEを使っていてもリスクを軽減することはできる。重要なことは，「たとえすべてのパッチを適用していても，IEにはセキュリティ・ホールがある」ことを認識して使用することだ。そうすれば，怪しいリンクを安易にクリックするようなことは控えるだろう。

　IT Proでは，Microsoftがパッチを公開していなくても，詳細が公開されてしまったセキュリティ・ホールや，パッチ適用以外の回避方法があるセキュリティ・ホールについては，記事として取り上げている。そこで本稿では，最近掲載した，パッチ未公開（記事執筆時点。現時点では公開されているものもある）のIEのセキュリティ・ホールに関する記事をまとめた。

◆IEにパッチ未公開のセキュリティ・ホールが続出 [2004/07/14]
※「任意のプログラムを実行させられる」「画面表示を偽装される」などの4種類のセキュリティ・ホール（IT Proで既報のセキュリティ・ホールを含む）。対策は「アクティブスクリプトを無効にすること」など。

◆「ポップアップ・ウインドウで画面表示を偽装できる」――IEでファイルをダウンロードするときには注意 [2004/07/13]
※画面表示を偽装されるセキュリティ・ホール。対策は「アクティブスクリプトを無効にすること」など。

◆IEにセキュリティ・ホール，フレーム中に任意のコンテンツを表示させられる [2004/06/30]
※フレームを使った任意のWebコンテンツ中に，任意のコンテンツを表示させられるセキュリティ・ホール。対策は「怪しいページにアクセスしない／怪しいリンクをクリックしない」こと。同様のセキュリティ・ホールはOperaやMozillaにも見つかっている（関連記事）。

◆IEやMozillaにアドレス・バーを偽装されるセキュリティ・ホール [2004/06/14]
※アドレス・バーの偽装とセキュリティ設定の回避を許すセキュリティ・ホール。特定のサイトでのみ悪用可能。同記事にあるように，アドレス・バーを偽装されるセキュリティ・ホールはMozillaにも見つかっている。

◆IEにパッチ未公開のセキュリティ・ホール，悪用するWebサイトが既に存在 [2004/06/09]
※任意のプログラムを実行させられるセキュリティ・ホール。7月に公開された「Microsoft Data Access Components の重要な更新プログラム」を適用すれば，特定の攻撃は回避できる（関連記事）。ただし，セキュリティ・ホールは解消されない（関連記事）。

◆リンク先のURLを偽装できるセキュリティ・ホールがIEに，OEユーザーは特に注意 [2004/04/05]
※ステータス・バーを偽装できるセキュリティ・ホール。

◆IEにパッチ未公開のセキュリティ・ホール，攻撃コードも出現している [2004/02/20]
※任意のプログラムを実行させられるセキュリティ・ホール。2004年4月には，このセキュリティ・ホールを突くコードが出回った（関連記事）。同じく4月に公開された「MS04-013」のパッチで解消される（関連記事）

◆IEに，ダウンロードするファイル名を偽装されるセキュリティ・ホール [2004/01/29]
※「ファイルのダウンロード」ダイアログ中のファイル名を偽装できるセキュリティ・ホール。「MS04-024」のパッチで解消される（関連記事）。

◆IEに2種類の新たなセキュリティ・ホールが見つかる [2004/01/10]
※任意のプログラムを実行させられるセキュリティ・ホール。1種類のセキュリティ・ホールについては，「MS04-024」のパッチで解消される（関連記事）。

◆IEにURLを偽装できるセキュリティ・ホール，安易なクリックは禁物 [2003/12/11]
※アドレス・バーやステータス・バーを偽装できるセキュリティ・ホール。2004年2月に公開された「MS04-004」のパッチで解消される（関連記事）

◆IEに複数のセキュリティ・ホール，対策はアクティブスクリプトを無効にすること [2003/11/28]
※任意のプログラムを実行させられるセキュリティ・ホール。2004年2月に公開された「MS04-004」のパッチで解消される（関連記事）。