修正済みのはずだったのに--IEの最新版にセキュリティホール

Marguerite Reardon(CNET News.com)2004年07月01日 09時25分
  • このエントリーをはてなブックマークに追加

 Microsoftのウェブブラウザ、Internet Explorer(IE)の最新版に、以前のバージョンでは修正されていたセキュリティホールが再び見つかった。

 セキュリティ会社のSecuniaは、IEのバージョン5.01、5.5および6.0のなかにあるこの欠陥について警告を行った。この問題は6年前、IEのバージョン3.0と4.0で見つかったのと同じもので、その時点では修正されていた。

 「以前に1度修正していた問題が、その後のバージョンで再び発生するといったことが、 Microsoftのような企業で起こったことに懸念を抱いている」とSecuniaの最高技術責任者(CTO)Thomas Kristensenは述べている。

 Microsoftはこのところ、相次ぐIEの脆弱性の発覚に悩まされている。最近では、6月29日(米国時間)に、IEの欠陥を悪用してポップアップ広告経由であるプログラムをユーザーのPCにインストールする、という攻撃が報告されている。このプログラムは、50件近い金融機関サイトの監視リストを保持していて、被害者がこのリストに記載されているサイトにアクセスするたびにアカウント名とパスワードを奪うというものだ。

 IEの脆弱性があまりに多いため、ユーザーに他のブラウザを採用するよう勧めるセキュリティ研究者もいる。オンラインでの脅威への防衛を担当する米国の公式組織、米国コンピュータ非常事態対応チーム(U.S. national computer emergency response team:US-CERT)も、セキュリティ管理者向けの6つの対応策の1つとして、Microsoft以外のブラウザへの移行を検討するようアドバイスしている。

 Secuniaの最新の警告によると、今回の脆弱性は、ユーザーが複数のIEブラウザを開いている場合に影響するもので、ハッカーが開いている1つのブラウザを通じて、ユーザーの知らない間に別のブラウザのコンテンツを勝手に変更できてしまうという。

 ハッカーはこの攻撃方法を使って、正当なウェブページのなかに、銀行口座やクレジットカード情報といった個人情報の入力を求める悪質なサイトへのリンクを挿入できる。この場合、信頼できる正当なサイトからリンクが張られているため、被害者は有害なサイトにリダイレクトされたことに気付かないかもしれない。またハッカーは、ウェブページ内にリンクを挿入し、ユーザーを騙して悪質なソフトウェアをダウンロードさせることもできてしまう。

 「ユーザーが自分のブラウザで見ているものを信じられないというのは大問題だ」(Kristensen)

 先週、これとは別の脆弱性が見つかったが、こちらのほうはウェブサイトをウイルスの感染源にしてしまうというものだった。この脆弱性は、悪質なコードの出所であるロシアのサーバがインターネットエンジニアらの手で閉鎖されたことで、ひとまず危険の芽を摘まれた。

 また6月には、あるアドウェア業者がこれまで明らかになっていなかったIEの脆弱性を利用し、ポップアップ広告を表示させるツールバーを被害者のコンピュータにインストールしていたことが明らかになった。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加