Mirosoftは2001年11月8日,Internet Explorer(IE)に格納されたCookie情報が盗まれたり,改ざんされたりする可能性のあるセキュリティ・ホールがあると発表した(セキュリティ管理番号はMS01-055)。IE 5.5および6.0が対象になる。同社は,現在このセキュリティ・ホールを防ぐ修正プログラムを作成中だという。

 Cookieはユーザの状態を維持するためにWebサーバ側からWebブラウザ側に与えられる情報である。しばしばユーザの認証情報が格納されることがある。Cookieを悪意ある人に盗まれると,Cookieの所有者が加入する会員制のページなどにユーザ名,パスワードなしで入られる可能性がある。

 このセキュリティ・ホールを突いた攻撃はInternet Explorer,およびHTMLメールの表示にIEを使うメール・ソフトで行われる可能性がある。ただし,JavaScriptが実行できる必要があるのでMicrosoftはユーザに対し,修正プログラムが提供されるまで,「インターネット」,「イントラネット」のゾーンにおいて,「アクティブ・スクリプト」の項目を無効にしておくよう呼びかけている。また,Outlook ExpressなどIEのコンポーネントを利用するメーラではHTMLの実行環境を「制限付きサイト・ゾーン」にしておくべきである。

(中道 理=日経バイト)