MS、IE 7の脆弱性を調査--フィッシング詐欺につながる可能性

　Microsoftは米国時間3月14日、攻撃者がフィッシング詐欺に悪用する可能性のある脆弱性について「Internet Explorer（IE）7」を調査していると述べた。

　攻撃者は、同ブラウザで表示されるエラーメッセージを悪用し、ユーザーを悪意あるウェブサイトに誘導することが可能になる。その際、金融機関など信頼できるサイトのアドレスが表示される、とイスラエルの開発者Aviv Raff氏は自らのブログで明らかにした。Raff氏は例を示し、エラーメッセージでユーザーを任意のサイトに誘導する方法を説明している。

　Microsoftの関係者によると、同社はこの問題を現在調査しているという。この関係者は電子メールによる声明で、「Microsoftでは、この報告された脆弱性を悪用した攻撃を確認していない」と述べ、「Microsoftは調査を続け、必要に応じて顧客に対しガイダンスを追加で提供していく」と語る。

　Raff氏は、この脆弱性は、IEでウェブページの読み込みが中断されたときに表示されるメッセージに関係していると書いている。攻撃者はこのメッセージに細工を施し、悪意あるリンクを作成することができる。エラーメッセージは読み込みが中断されたページをもう一度読み込むためのリンクを提供するが、そのリンクをクリックすると攻撃者の仕掛けたページに誘導される。この際、ウェブアドレスには任意のものを表示することができると同氏は説明する。

　Raff氏の説明によると、フィッシング攻撃を仕掛けるため、攻撃者はまず、金融機関などのように信頼できるサイトへのリンクを装ったウェブリンクを作成する。そして、ユーザーがこのリンクをクリックすると、仕組まれたエラーメッセージのページが表示される。このエラーページにあるリロード用のリンクをクリックすると、ユーザーは攻撃者のウェブサイトに移動する。この際、IE 7のアドレスバーには信頼できるサイトのアドレスが表示されているという。

　フィッシング攻撃は、インターネットで広く使われている攻撃手法で、脅威となっている。この攻撃は、不正なウェブページやスパムメールなどを用いてユーザーから社会保障番号やクレジットカード情報など個人情報をだまし取るためによく利用されている。

　「Windows Vista」および「Windows XP」のIE 7が影響を受けるとRaff氏は警告している。