IEに新たなセキュリティホール--「フィッシング詐欺に悪用のおそれ」：専門家が警告

　「Internet Explorer（IE）」に未修正の脆弱性が存在しており、犯罪者がフィッシング詐欺に悪用するおそれがあると、専門家が警告している。

　セキュリティ監視企業Secuniaが米国時間4月4日に発表した勧告によると、同脆弱性はブラウザウィンドウのアドレスバーを偽装するために用いられることがあるという。この手法は、実際は偽のウェブページを閲覧しているユーザーをだまし、正規のサイトだと信じ込ませる、フィッシング詐欺を仕掛けるために使用される可能性がある。

　フィッシングはオンラインで広く見られるようになった詐欺の一種で、無防備なインターネットユーザーから個人情報を盗むことを目的としている。通常のフィッシング攻撃では、スパムメールと、クレジットカード会社や銀行といった信頼できる機関のものに見せかけられた偽のウェブサイトが組み合わせられる。

　Secuniaは、IEがウェブページおよび「Macromedia Flash」のアニメーションを読み込む方法に欠陥があり、こうした脆弱性につながっていると述べた。同社は今回の問題を「中程度に深刻」と評価しており、ユーザーが利用しているウェブブラウザが影響を受けるかどうかをテストできる、特別なウェブページを開設した。

　Secuniaでは、同脆弱性が、現在までのすべてのパッチを適用したWindows XPで稼働するIE 6.0に影響を及ぼすことを確認している。また、最新のIE 7ベータ版にも影響がおよび、ほかのバージョンも同様の可能性があるという。

　Microsoftの関係者は、5日に電子メールによる声明を発表し、新たに報告を受けた問題を現在調査していると述べた。声明には、「われわれの初期調査では、インターネットセキュリティを高レベルに設定しているか、アクティブスクリプトを無効にしている場合は、攻撃を受ける可能性が小さいことがわかった。これは、攻撃の実施にスクリプティングが必要になるためである」と記されていた。

　さらにMicrosoftは、今回の脆弱性を悪用した攻撃はまだ確認されていないと述べている。Secuniaでは、この問題を「Internet Explorer Window Loading Race Condition Address Bar Spoofing（競合状態にある偽のアドレスバーをロードするInternet Explorerウィンドウ）」と呼んでいる。

　過去数週間で、IEに未修正の脆弱性が存在していることが公表されたのはこれで4度目だ。Microsoftは、11日にIEのセキュリティアップデートをリリースする予定だという。公になった脆弱性のうち少なくとも1件を、このアップデートで修正するとMicrosoftは述べている。修正が施される脆弱性は、IEがウェブページで「createTextRange()」タグを処理する方法に関係するもので、スパイウェアやリモートコントロールソフトウェア、トロイの木馬などを脆弱なPCにインストールする攻撃にすでに用いられている。