米Microsoftは9日(米国時間)、同社のInternet Explorer(IE)ウェブブラウザのバグにより、悪意のあるハッカーが本物そっくりの偽ウェブサイトを作る恐れがあるという報告を受け、調査を行なっていることを明らかにした。
デンマークのセキュリティ会社Secuniaによると、このバグは、ハッカーが偽サイトの虚偽のウェブアドレスの表示に悪用する可能性があるという。
Secuniaはこのバグの発見者を、Bugtraqセキュリティメーリングリストに警告を投稿した「Zap the Dingbat」だとしている。この警告記事には、Microsoftには9日にこのバグの情報が伝えられたと記されている。警告には悪用方法のデモンストレーションへのリンクもついていた。
悪意のあるハッカーは、米eBayなどのEコマースサイトのコピーサイトにユーザーをおびき寄せ、ユーザーを騙してクレジットカードや銀行口座番号などの個人情報を入力させる、という手口をしばしば利用している。こうしたやり方は、クレジットカードや個人情報の窃盗における主な手口だと言われている。
技術に通じているウェブユーザーなら、異常なウェブアドレスによる策略に気が付くことが多い。しかしSecuniaが説明している方法によると、IEは、たとえば偽のeBayサイトのアドレスバーに「ebay.com」と表示してしまう恐れがあるという。
「Microsoftは、Internet Explorerに脆弱性がある可能性について、新たに公表された報告を現在調査中だ」と同社は声明を出している。「我々は現時点では、報告された脆弱性が顧客に実際に被害を与えた事例は把握していない。しかし現在、公表された報告を積極的に調査しているところだ」(Microsoft)
Microsoftは調査のスケジュールは明らかにしなかったが、最終的にこの問題に対処するパッチを公開する可能性がある、とは述べている。ユーザはそれまでの間、ファイアウォールやソフトウェアのアップデート、ウイルス対策ソフトウェアを利用するといった、基本的なセキュリティ方策を取ることを同社では推奨している。
またMicrosoftは、同社にパッチ開発のための十分な時間を与えないまま、この欠陥を公開してしまったセキュリティ専門家を非難している。
「Microsoftは、Internet Explorerの脆弱性についての新たな報告が、責任ある形で公開されなかったため、コンピュータユーザーを危険に晒してしまう恐れがあることを懸念している」と同社は声明で述べている。「我々は、脆弱性をメーカーに直接報告するという行為は一般に受け入れられており、誰にとっても望ましいと考えている。包括的で高品質なパッチを顧客に提供できるうえ、パッチ開発中に悪意のあるハッカーに脆弱性が悪用されることがないためだ」
Secuniaでは、このバグの原因について、特定の文字列が実際のウェブアドレスを隠して偽のアドレスに置き換えてしまうという、IEの「入力確認エラー」によるものだとしている。
Secuniaでは、プロキシサーバーやファイアウォールを使用して、ウェブアドレスから問題となる文字列を取り除くことを推奨しているほか、「信用できない筋からのリンクを辿ら」ないよう、人々に警告している。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」