マイクロソフト、偽称テクニックを脆弱性とするセキュリティ専門家に反論

　セキュリティ研究者らは、Internet Explorer（IE）を悪用するある「spoofing」（偽称）テクニックが見つかったことに関して、これをIEのセキュリティ脆弱性によるものだと主張しているが、Microsoft側ではこうした主張に反駁している。

　Microsoftは、この偽称がIEのバージョン6で起こり得る可能性については認めたが、これがセキュリティ欠陥であるとの主張は却下した。

　spoofingとは、ユーザーが自分が望んだウェブサイトを開いているつもりにさせながら、実際には「偽」サイトにアクセスさせることを指す。この偽称テクニックはフィッシング詐欺で頻繁に利用されている。フィッシングとは、正当な団体からのメールに見せかけた偽メールを送りつけ、ユーザーから個人情報を盗み出そうとする行為をいう。

　Microsoftは、メールでの声明で次のように述べている。「Microsoftは、Internet Explorerのステータスバーに偽URLが表示されるという、先週報じられたセキュリティ問題を把握している。この問題は、ユーザーがウェブページのリンク上にマウスを置いた際に、ステータスバーにはあるURLが表示されるが、このリンクを実際にクリックすると別のURLにジャンプするというものだ。我々の調査結果によると、これはセキュリティ脆弱性ではない」

　ドイツのBenjamin Tobias Franzという研究者は先週、HTMLの「href」タグ内に2つのURLとテーブルを配置すると、IEのステータスバーに偽リンクを表示できると、オンライン掲示板「Bugtraq」に警告を書き込んだ。

　このような変なリンクをクリックすると、ユーザーの知らぬ間に全く異なるウェブサイトにジャンプしてしまう可能性があると、Franzは主張している。

　しかしMicrosoftは、ユーザーがこうした攻撃の被害に遭うためには、多大なソーシャルエンジニアリングが必要だと述べている。

　「攻撃者はユーザーをあるサイトに誘導して、さらにInternet Explorerのステータスバーに表示されるURLでユーザーを騙し、リンクをクリックさせる必要がある」とMicrosoftは声明に記している。「攻撃が成立するには、ユーザーがこの行き先サイトでさらに攻撃者に誘導されて、アドレスバーに表示されているURLが自分がアクセスしたつもりのURLと違うことに気付かないまま、機密の金融情報を公開するなど何らかの行動をとる必要がある」

　同社では、ブラウザのアドレスバーに表示されるURLが、自分が意図した行き先であることを確認してからサイトに入るよう、ユーザーにアドバイスしている。Windows XP Service Pack 2（SP2）はこの問題の影響を受けないと、FranzとMicrosoftは認めている。

　Microsoftは「SP2より前のWindowsバージョンにも今後同様の変更を実装する可能性を検討する」と言い添えた。

　Franzは、HTMLメールメッセージはこのテクニックに脆弱であるため、Microsoft Outlook Expressもこの問題の影響を受けるとBugtraqに記している。Franzによると、実際のアクセス先を調べるにはリンクを右クリックすればよいとは掲示板に記した。