IEにフィッシングの危険--ActiveXに問題

　Microsoftが、最も安全なバージョンのWindowsを使っているユーザーでもフィッシングの被害にあうおそれがある欠陥が、Internet Explorer（IE）のなかに新たに見つかったとの報告について調査を進めている。

　同社は米国時間17日、Secuniaなど複数のセキュリティ企業から出された報告について、調査を進めていることを明らかにした。これらの報告によると、IE6のなかに見つかった脆弱性が原因で、最新のセキュリティアップデートであるService Pack 2が適用されたWindowsや同OSのこれまでの各バージョンを搭載したPCに対し、フィッシング攻撃が仕掛けられてしまうという。フィッシング攻撃では通常、銀行などの企業の本物のサイトのように見える偽のサイトを使ってユーザーをだまし、クレジットカード番号などの個人情報を入力させようとする。

　Secuniaの勧告によると、このウェブブラウザの欠陥が悪用された場合、見破るのが難しい偽のウェブサイトを制作することが可能になり、そこに偽のSSL署名認証さえ埋め込めてしまうという。また、フィッシング犯はどのウェブサイトから発行されたクッキーでも乗っ取ることができてしまうと同社は述べている。

　SecuniaのCTO（最高技術責任者）Thomas Kristensenは、「問題は、ユーザーがブラウザの表示内容を信用できないという点だ。この点を悪用し、ユーザーをだまして信用できるウェブサイトだと思わせ、情報を入力させることができる。入力された情報は悪質なサイトに記録され、コントロールされてしまう」と語った。

　IEユーザーに大混乱を引き起こす可能性があるにも関わらず、Secuniaではこの脆弱性を「やや深刻」としか分類していない。これは、この脆弱性がコンピュータネットワークへのアクセスには利用できないためだ。

　自社製品のセキュリティ強化を進めるMicrosoftだが、今回の脆弱性が発見される以前にも何度も挫折を味わってきている。同社は8月にSP2を投入したが、この際同社会長のBill Gatesは、さまざまな攻撃に対するシステム強化の上でSP2が重要な一歩になると大々的に宣伝していた。

　Microsoftのある関係者によると、同社はこの欠陥に関する調査を積極的に進めているという。また同社では、この脆弱性の悪用を試みた攻撃があったとの報告はまだ受けていないと、この関係者は強調した。今のところ、Microsoftは顧客に対し、同社が示している「Protect your PC（PCの自己防衛）」ガイドラインを読み、ファイヤウォールのインストールやソフトウェアのアップデート、ウイルス対策ソフトウェアの動作などを行って、自分のPCを守るよう呼びかけている。

　Secuniaは勧告のなかで、IE 6のDHTML Edit ActiveXコントロールにあるエラーが原因で、特定の状況で「execScript」機能を処理しようとした場合に、この脆弱性が生じるとしている。この欠陥を悪用すれば、任意のスクリプトコードを実行できてしまうと同社は説明している。フィッシング犯はこの欠陥をついて偽のウェブサイトへのリンクを付した電子メールを送付できる。リンク先の悪質なウェブサイトでは、URLが一瞬表示されるものの、すぐにユーザーは別の偽サイトへ転送されてしまうという。

　「問題は、ActiveXコントロールに渡される特定の入力情報が、ブラウザに返されるまえに正しく確認されない点にある。この点を悪用すれば、ブラウザに信頼できるウェブサイトにアクセスしていると信じ込ませながら、そのウィンドウに表示される内容をコントロールするコードを埋め込めてしまう」（Kristensen）

　Secuniadではこの手口の例を公開しており、またユーザーに対してはこの問題を修正するパッチが出されるまでActiveXを無効にしておくようアドバイスしている。