Firefoxに見つかったある脆弱性により、ユーザーがフィッシングの被害にあうおそれがあると、セキュリティの専門家らが警告を発した。
Mozilla Firefox 1.0にあるこの脆弱性は、セキュリティ対策ベンダーのSecuniaによって米国時間4日に発表されたもの。ハッカーはこれを悪用すると、ウェブサイトからファイルをダウンロードする際に表示されるダイアログボックス内のURLを偽装することができてしまう。原因はFirefoxのダイアログボックスがサブドメインやパスを正確に表示できないことにあり、これを悪用するとダウンロード元の実際のURLを隠すことが可能になる。
ウイルス対策ソフトウェアメーカーF-SecureのMikko Hypponen(調査担当ディレクター)は、このバグによってFirefoxユーザーがネット犯罪者に狙われる危険性が生じると述べている。「この欠陥はフィッシング詐欺に悪用される可能性が最も高い」(Hypponen)
ただし、Firefoxユーザーが電子メール内に張られたリンクをクリックして偽装したウェブサイトにアクセスしたうえ、さらにそのサイトから悪質なソフトウェアをダウンロードしなければ、こうした詐欺の被害にあうことはない。なお、こうしたソフトウェアは本物のサイトからダウンロードされているように見えてしまう。
Secuniaではこの脆弱性の深刻度を5段階中2番めに高い「Less critical」としている。
一方、ウイルス対策ベンダーKaspersky LabsのDavid Emm(シニア・テクノロジー・コンサルタント)は、Firefoxに見つかったこの脆弱性が悪用されることはあまりなさそうだと述べ、その理由としてブラウザ市場では相変わらずMicrosoftのInternet Explorer(IE)が圧倒的なシェアを占めている点を挙げた。
「ハッカーが先を争ってこの脆弱性を悪用するような事態にはならないと思う」とEmmは述べ、「結局のところ、FirefoxのインストールベースはIEよりもずっと小さいため、ハッカーは引き続きIEのほうに注意を向ける可能性が高い」と付け加えた。
ただし、Firefoxに対しては過去数カ月間に多くの関心が集まっているため、今後はこの点が変化する可能性もある。昨年11月末に行われた調査によると、Firefoxを含むMozillaベースのブラウザの市場シェアは同月7.4%に達し、5月と比べて5%増加したという。
今回の脆弱性で影響を受けるのは、Mozilla 1.7.3 for Linux、Mozilla 1.7.5 for Windows、Mozilla Firefox 1.0の各ブラウザで、現時点で解決策は見つかっていない。だが、Mozillaの開発者らは次期バージョンでこのバグを修正すると見られている。
なお、Secuniaの勧告ならびにMozillaのバグレポートは、オンラインで公開されている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力