「Firefox」と「IE」にパスワード漏えいにつながる脆弱性--マイスペースも攻撃に

　Mozillaの「Firefox 2」およびMicrosoftの「Internet Explorer（IE） 7」に、攻撃者がパスワードを盗むのに悪用できる脆弱性が存在していることがわかった。

　発見者のRobert Chapin氏は、これを「Reverse Cross-Site Request（RCSR）」の脆弱性と呼んでいる。これはハッカーが偽のログインフォームを使って、ユーザーのパスワードおよびユーザーネームを盗むことを可能にする脆弱性だという。Firefoxの「Password Manager」が、保存したパスワードおよびユーザーネームをこのフォームに自動入力してしまうことが、問題になっている。

　入力されたデータは、ユーザーの知らないうちに攻撃者のコンピュータに送信されると、Chapin Information Services（CIS）のウェブサイトは説明している。

　Chapin氏によれば、同脆弱性を悪用した攻撃は、ソーシャルネットワーキングサイト「MySpace.com」ですでに試みられており、ユーザーが生成したHTMLコードを追加できるタイプのブログや掲示板を利用しているユーザーであれば、だれもが攻撃対象になり得るという。

　「FirefoxおよびIE両ブラウザのユーザーは、信頼しているブログサイトや掲示板を閲覧しているときでも、こうした方法で個人情報が漏えいするおそれがあることを認識すべきだ」（Chapin氏）

　MySpace上に仕掛けられていた攻撃を発見したセキュリティ企業Netcraftは、偽のログインページがMySpace自身のサーバでホスティングされていたことを明らかにしている。

　偽ページには、クロスサイトスクリプティング（XSS）やオープンリダイレクトといった外部コンテンツが使われている兆候が一切認められないため、「非常に本物らしく見え、セキュリティを重視しているユーザーでもだまされる可能性が高い」と、CISは述べた。

　攻撃は、プロファイルページから起動するようになっていた。攻撃者は特別なHTMLを使って、MySpaceの本物のコンテンツを見えないようにし、代わりにみずから用意した偽のログインフォームを表示したのだという。

　Chapin氏は、IEおよびFirefoxのいずれも、ユーザーがフォームデータを送信する前に送信先を確認する機能を備えていないため、RCSR攻撃はXSSより成功する確率が高いと話した。この攻撃は信頼できるウェブサイトで実行されるので、ブラウザも警戒しないのである。

　CISは2週間前、保存したユーザーネームおよびパスワードをFirefoxがRCSRフォームに自動入力する件について、Mozillaに報告していた。一方IEは、正規のログインフォームが表示されるのと同じページにRCSRフォームが現れないかぎり、保存していたユーザーネームおよびパスワードを自動入力することはないため、Firefoxより攻撃は起こりにくいという。