2004年1月28日,米Symantec社のSymantec Security Response(SSR)でウイルスの解析をしている山村元昭シニア・デベロップメント・マネージャが日経バイトのインタビューに応じた。同氏は「ファイルのダブルクリックだけでなく,リンクを開く場合のシングルクリックも気にしなければならない時代になってきた」という。これまで,電子メールに関してセキュリティ面で気にすることは「とにかく怪しい添付ファイルを開かない」ということだった。ところが最近では「偽装されたURL」によって意図しないサイトにアクセスさせようとする手口が増える傾向にあると言う。信用できるURLのページを開いたつもりが,全く別のサーバーにアクセスしていたとすれば問題だ。

 問題は大きく二つある。一つはウイルス感染の可能性。Webブラウザにファイルを自動実行する脆弱点があり,偽装先にウイルスが置かれていれば,そのページを開いただけでウイルスに感染することになる。二つ目は,個人情報の漏洩。正規のWebサイトを偽ったWebページによってユーザー名/パスワードやクレジット・カード番号を騙し取られる可能性がある。「米国では,銀行やキャッシュカードの明細が電子メールで送られてくることも少なくない。この場合,詳細なレポートがWebサーバー上に置かれる場合がほとんどだ。いつも使っている銀行やキャッシュカード会社のドメインと思われるものにリンクが張ってあれば,迷わず押してしまう可能性が高い」(山村氏)という。そこでカード番号やユーザー名,パスワードを要求されれば思わず入力してしまう可能性がある。日本でもいつも使っている会員制のWebサイトへのリンクが張られていれば「なんだろう?」と思ってクリックかも知れない。例えば,IT Proのサイトを偽装したページで,ユーザー名とパスワードを要求されれば,パスワードを入れてしまうのではないだろうか。

 メールに怪しいURLが書いてあれば,普通クリックしないだろうと考えるかも知れないがそれは間違いなのだという。「リンク先を別のURLとして見せることは意外と簡単」(山村氏)。例えば,「http://itpro.nikkeibp.co.jp:CGI=@192.168.0.1」というURL。一見,「http://itpro.nikkeibp.co.jp/」というサーバーのどこかのファイルににアクセスしそうに見える。しかし,実際には,http://192.168.0.1/にアクセスしてしまう。これは「@」以下のドメイン名(IPアドレス)が実際のドメイン名としてブラウザに認識されるからである。これは別にブラウザのバグではない。ベーシック認証を必要とするファイル(フォルダ)にアクセスする場合には,「http://[ユーザー名]:[パスワード]@[サーバー名].[ドメイン名]/[ファイル名]」という書式になる(例えば, http://user:password@server.co.jp/file.html)。この書式を利用して,先の例では「itpro.nikkeibp.co.jp」をユーザー名,「CGI=」をパスワードとしたわけである。もちろん,既報されているような実際のドメイン名を消すことができるInternet Explorerのバグを使えばさらに偽装しやすくなる。防衛策は「メールに書いてあるURLをクリックするのではなく,そのサイトのURLを手入力すること。このとき,意味不明の文字列は入力しない」(山村氏)。

(中道 理=日経バイト)