PR

 デンマークSecuniaは現地時間12月8日,主なWebブラウザ――Internet Explorer(IE)やMozilla/Mozilla Firefox,Opera,Safari,Konqueror――に見つかったセキュリティ・ホールを公表した。信頼できる有名サイトが表示するポップアップ・ウインドウを“乗っ取って”,そのウインドウに第三者のサイトのページ(コンテンツ)を表示させることができる。オンライン詐欺に悪用可能なセキュリティ・ホールなので注意したい。

【12月9日追記】Secuniaは,Netscapeにも同様のセキュリティ・ホールがあることを明らかにした【以上,12月9日追記】

 Secuniaは,このセキュリティ・ホールを使ったデモ・ページを公開している。Secuniaのサイトに置かれたデモ・ページにユーザーがアクセスし,その後,米Citibankのページを別ウインドウで表示する。そして,特定のポップアップ・ウインドウにリンクが張られたCitibankのページ中の画像をクリックすると,Secuniaのサイトに置かれたポップアップ・ウインドウが“なぜか”表示されてしまう(上写真はIEを使ったデモ。拡大表示はこちら)。これが,今回のセキュリティ・ホールである。

 ポップアップ・ウインドウをブロックする設定にしている場合や,ポップアップ・ウインドウをブロックするツールを使っている場合でも,同様の“攻撃”が可能である(Firefoxによるデモ結果はこちら)。

 Secuniaの情報によると,このセキュリティ・ホールを突いた攻撃を“成功”させるには,ユーザーを攻撃者のサイトへ誘導する必要がある。つまり,(1)まずは,ユーザーのブラウザに攻撃者のページを表示させる。そして,(2)別のブラウザ・ウインドウに,信頼できるサイトのページを表示させる。この状態で,ユーザーが信頼できるサイトのページでポップアップ・ウインドウを表示させた場合,(3)そのウインドウに,(信頼できるサイトのページではなく)攻撃者が意図するページを表示させることができる(右写真はSecuniaが公開する流れ図。拡大表示はこちら)。

 これを悪用すれば,「ポップアップ・ウインドウに,攻撃者のサイトに置かれた本物に見せかけたフォームを表示させ,個人情報を入力させる」といったオンライン詐欺が可能となる。ユーザーとしては十分注意したい。

 Secuniaは,今回のセキュリティ・ホールが見つかったブラウザの各ベンダーへ11月19日に報告したという。いずれのベンダーからも,この件に関する情報やパッチ,修正版などは公開されていない模様。

 Secuniaでは「信頼できるサイトを閲覧しているときには,信頼できないサイトを閲覧しない(Do not browse untrusted sites while browsing trusted sites)」ことを対策として挙げている。

◎参考資料
Multiple Browsers Window Injection Vulnerability
Multiple Browsers Window Injection Vulnerability Test
Mozilla / Mozilla Firefox Window Injection Vulnerability
Microsoft Internet Explorer Window Injection Vulnerability
Safari Window Injection Vulnerability
Opera Window Injection Vulnerability
Konqueror Window Injection Vulnerability

(勝村 幸博=IT Pro)