PR

 12月10日以降,「Bugtraq」などのセキュリティ関連メーリング・リストでは,Internet Explorer(IE)に見つかった新しいセキュリティ・ホールが話題になっている。セキュリティ・ホールに関する情報やパッチはMicrosoftからは公開されていない。URLに細工を施すと,実際のURLとは異なるURLをアドレス・バーに表示させることができる。

写真1●Microsoftのページに見せかけたページ
写真2●写真1のページの実際のURL
写真3●Microsoftのページに見せかけたページに誘導するHTMLメール
写真4●Microsoftのページに見せかけたページ
写真5●写真4のページの実際のURL
 実際のURLは「ファイル」メニューの「プロパティ」などから確認できる。他のWebサイトやHTMLメールから誘導されたWebページで個人情報などを入力する際には,アドレス・バーに表示されるURLが信頼できるサイトのものでも,念のために確認したい。また,信頼できないWebサイトやHTMLメールのリンクは安易にクリックすべきではない。

【12月15日追記/訂正】今回のセキュリティ・ホールを突けば,「プロパティ」情報のURLも偽装できることが明らかとなっている。このため,「プロパティ」で表示されるURLも信用できない場合がある。「信頼できないWebサイトやHTMLメールのリンクはクリックしない」を実践して回避する必要がある。【以上,12月15日追記/訂正】

 今回明らかにされたセキュリティ・ホールは,URLに「%01」や「@」などを含められると,URLの一部分しかアドレス・バーに表示しないというもの。これを“利用”すれば,悪意があるWebページを,信頼できる企業/組織のWebページに見せかけることが可能となる。

 セキュリティ・ホールを確認するためのWebサイトやHTMLメールがいくつか公開されている。例えば写真1では,アドレス・バーに「http://www.microsoft.com」と表示されているが,実際のURLは,「ファイル」メニュー(あるいはマウスの右クリック)から選択した「プロパティ」で表示される,写真2のURL(アドレス)である。

 写真1および2は,別のWebページから,Microsoftのページに見せかけたページに誘導する例である。HTMLメールから誘導する例も公開されている。

 写真3のHTMLメール中のリンクにマウス・ポインタを当てると,メールの左下部には「http://login.passport.net」と表示される。このリンクをクリックすると,写真4のページに誘導される。一見,「http://login.passport.net」のページに見えるが,実際は写真5のように別のURLのページである。

 セキュリティ・ホールを突く方法はインターネット上で公開されている。悪用することは容易である。自分でアドレス・バーにURLを入力した場合などは問題ないが,他のWebページやHTMLメールから誘導された場合には,十分注意する必要がある。

 また,信頼できないWebページやメール中のリンクは,安易にクリックしないようにしたい。リンク先には,今回のセキュリティ・ホールを突くようなページに限らず,どのようなページ(コンテンツ)が待っているか分からない。

(勝村 幸博=IT Pro)