セキュリティベンダーのSecuniaによると、すべての主要なウェブブラウザに内蔵されたある機能が、攻撃者に悪用される可能性があるという。攻撃者は、この機能を利用してウェブサイトにアクセスしてきたユーザーをだまし、ユーザーの機密情報を手に入れると、同社は米国時間8日に警告を発した。
この機能を悪用したウェブサイトにアクセスすると、ユーザーはたとえば銀行のウェブサイトのような本物のサイトに飛ばされる。この転送先ではポップアップウィンドウが開かれ情報を入力するよう求めてくるが、実はこのポップアップウィンドウに表示されたコンテンツは攻撃者が書き換えたもので、入力した情報は攻撃者の手に渡ってしまう。Secuniaではこの問題を「欠陥」に分類している。この問題は、MicrosoftのInternet Explorer、Mozilla FoundationのMozillaおよびFirefox、Opera、オープンソースのKonqueror、それにApple ComputerのSafariに影響すると、Secuniaは自社サイトに載せた勧告のなかで説明している。
「他のサイトがポップアップウィンドウのコンテンツを変更できるかを確かめたり、あるいはそのことを警告するようなブラウザはない」とSecuniaのCTO(最高技術責任者)Thomas Kristensenは、CNET News.comへの電子メールで述べている。「特定の機能を呼び出そうとして自分からリンクをクリックしたところ、ポップアップウィンドウが表示されたという場合には、そのウィンドウ内のコンテンツが悪意あるサイトによって変更されていると疑うユーザーはまずいない」(Kristensen)
同社はこの欠陥を突いた攻撃例をデモ用に作成し自社サイトで公開しているが、この例では、Citibankのウェブサイトに飛ばされたユーザーが、そこで画像をクリックすると、Secuniaのプログラムがコントロールするポップアップウィンドウが表示される仕組みになっている。
Microsoftはこの攻撃について、ブラウザの正当な機能を使ってユーザーを欺くものだと述べている。
「当社の調査から、この報告に記されているのは、どの人気ウェブブラウザでも見られる機能の副産物的な振る舞いであることがわかった。アドレスバーを表示せずにウィンドウを開けるようにするこの機能は、各ウェブブラウザに組み込まれた信頼のメカニズムといえる」と、同社はCNET News.comに宛てた声明文に記している。
Microsoftは、Windows XP Service Pack 2(SP2)をインストールしたユーザーのシステムにはいくつかのフィッシング対策ツールが備わっていることを強調した。また、ログイン用のIDやパスワード、あるいは個人情報などを聞いてくるウインドウでは、すべて情報を暗号化してやり取りしており、そのことを示すカギのアイコンがウィンドウ下端のステータスバーに表示されるはずだと、Microsoftは声明文のなかで述べている。
「フィッシング詐欺の中には、ブラウザウィンドウの下端に偽のステータスバーと偽のアイコンを表示するものも出てきている。Windows XP SP2のInternet Explorerでは常に本物のステータスバーを表示することから、ユーザーはそのアイコンが本物かどうかを見分けることができる」
しかし、Secuniaはブラウザメーカー各社が重要な点--つまり、ユーザーのほとんどは本物のサイトに居ると勘違いして、アイコンのような細かい点の変化に気付かないということを理解していないという。
「ブラウザメーカー各社はネット上での悪質な行為の変化を考慮に入れていない。また自動的に悪質なコードをインストールするよう細工されたセキュリティホール以外にも懸念すべき点があることをわかっていない」(Kristensen)
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」