Microsoftは28日(米国時間)、Internet Explorer(IE)およびWindows Explorer用のソフトウェアアップデートをリリースすると発表した。このアップデートは、悪質なコードを含む可能性のあるウェブサイトが身元を偽ってウェブユーザーをおびき寄せ、パスワードなどの重要な情報をかすめ取る、いわゆる「なりすまし」行為を封じ込めるためのものだ。
この発表は、デンマークのセキュリティ会社Secuniaが公表したIE関連のセキュリティ警告を受けたもの。Secuniaは昨年12月に、IEのバグにより、悪意のあるハッカーが本物そっくりの偽ウェブサイトを作る恐れがあると報告していた。そして28日に、同社はこの欠陥の詳細をウェブサイトに掲載し、この欠陥が悪用されると、騙されて偽のサイトにアクセスしたユーザーが悪質なファイルをダウンロードしてしまう可能性があると説明していた。
今回Microsoftが発表したパッチは、ユーザー名とパスワードをリンクに直接埋め込み、リンクをクリックするだけで、簡単にアクセス制限付きページに飛べるようにする機能を使えなくする。このような方法で、ユーザー名とパスワードを直接組み込んだリンクは、インターネット上ではそれほど使われてはいない。しかし、ウェブ開発者のなかには、企業イントラネット上のHTTPサイトでこの機能を利用し、特定のユーザーが情報に手軽にアクセスできるようにしている者もいる。
この機能で問題になるのは、URLコードに埋め込まれたユーザー名とパスワードが、ウェブページの在処の特定には使用されないことだ。攻撃者はこれを悪用して、URL中のユーザー名とパスワードの部分を偽装し、ユーザーが本来アクセスしているつもりのページにいないのに、そのページにいると思わせることができてしまう。
「自分がアクセスするページを確認しようとしてもできないのだから、これは非常にたちが悪い」とNTBugtraqの編集者、Russ Cooper。NTBugtraqはセキュリティコンサルティング会社TruSecureが発行しているセキュリティニュースレターだ。
この「なりすまし」の仕組みは次のようになっている。まず、リンクの実際のURLシンタックス--リンクをクリックした時にIEのアドレスバーに表示されたり、リンク上にカーソルを置くとその下に表示される文字列--は、「http(s)://username:password@server/resource.ext」のように見える。
ブラウザがウェブページの在処を探す際には、「@」マークの右側部分の文字列が使用される。「@」の左側にある文字列は、ユーザー認証に用いられる。ターゲットのページにユーザー認証機能がない場合には、@の左側部分は無視される。
攻撃者は、次に「@」マークの左側部分を使って偽のウェブアドレスを作り、ユーザーが別のページやサイトにアクセスしていると錯覚させることができる。たとえば、「http://www.cnet.com@mysimon.com」というURLは、一見「http://www.cnet.com」のウェブサイトへアクセスするリンクのように見えるが、実際には「http://mysimon.com」に飛んでしまう。
この問題は、最近見つかったIEブラウザのURL表示にあるバグのせいで、いっそう深刻なものとなっている。攻撃者は、このバグを悪用して「@」の前に特別な文字をいくつか追加することで、IEが本当の飛び先となるサイトのURLを表示しないように細工できてしまう。つまり、先に挙げた例では、IEのアドレス欄やウインドウ下部には、単に「http://www.cnet.com」とURLが表示されてしまうのだ。
新しいパッチをインストールしたIEでは、ユーザー名とパスワードが埋め込まれたリンクは認識されなくなる。また、こうしたリンクをクリックした場合には、「無効なシンタックスエラー」("Invalid syntax error")というメッセージが書かれたページへ飛ばされる。Microsoftは、いつこのパッチをリリースするかについてはまだ明らかにしていないが、ウェブページの制作者に対してこの変更に伴う迂回方法を説明するサポート文書は、すでに公開されている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」