米Microsoftのウェブブラウザ、Internet Explorer(IE)に新たな欠陥が発見された。あるセキュリティ研究者によると、この欠陥を利用したオンライン詐欺師は、インターネットユーザーを騙し、機密情報を開示させたり、悪意あるコードを実行させることが可能という。
この新たな欠陥を利用することにより、巧妙に作られた特別なURLまたはリンク先に、攻撃者が選んだ任意のアドレスのサイトを表示しているかのように見えるブラウザウィンドウをロードさせることができる。例えば攻撃者は、一見www.zdnet.com.auのサイトを表示しているように見えるが、実際は別のソースからのコンテンツを表示しているウィンドウをロードすることができる。詐欺師たちは、この欠陥を利用した「フィッシング(ウェブ偽装)詐欺」によって、簡単にインターネットユーザーを騙して詳細な個人情報を集めることができる。例えば、送信元が、被害者のインターネットバンキングプロバイダとなっている電子メールや、同種のウェブサイトを使って、被害者にユーザー名やパスワードなど詳細な情報を入力するよう促すといったことが考えられる、とセキュリティ分野のリサーチエンジニア、Drew Copleyは指摘する。
Copleyは、米国からの電話で「他人に成りすまして、被害者に実行可能なコンテンツを実行させることが可能」と述べ、さらに「この世の終わりというわけではないが、Microsoftの頭痛の種が増えることになる」と語った。
ネットワークセキュリティ企業の米eEye Digital Securityに勤務するCopleyにとって、IEの欠陥はどちらかと言えば専門分野に入る。これまでCopleyは、広く普及しているこのウェブブラウザに内在するセキュリティ問題を数多く発見してきた。この欠陥は遠隔地からシステムに侵入するといった従来型の攻撃を可能にするものではないが、この欠陥に関する最大の不安は、ユーザーが何を信用すべきかという判断がつかなくなる恐れがある点だ、とCopleyは語る。
「(アドレスが)本物に見えれば、他人に何かをダウンロードさせたり、実行させたり、パスワードなどを聞き出すことが可能だ」(Copley)
しかしこの欠陥以外にも、Microsoftの撲滅予定リストの最上位にランクされそうな、より深刻な脆弱性が存在する、とCopleyは指摘する。最近いくつかの脆弱性が中国のセキュリティグループによって発見されており、そのうちの3つはシステムへの遠隔攻撃を可能にするものだという。
ユーザーは、ブラウザのアクティブスクリプト機能を無効にすることで、こうした脆弱性を軽減できるが、そうするとブラウザはスクリプトやActiveXコードが実行できなくなるため、機能が制限されてしまう、とCopleyは指摘する。
「もちろんActive Scriptingを無効にすることは可能だ・・・そうすることで自衛できるが、ウェブの閲覧にもかなりの支障が出るだろう」(Copley)。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」