Internet Watch logo
記事検索
最新ニュース

MS、IEのURLを偽装できる脆弱性の回避策を公開、ただしパッチは未提供


 マイクロソフトは17日、デンマークのセキュリティ企業Secunia社が9日に発見した「Internet Explorer(IE)にURLをスプーフィング(偽装)できる脆弱性」の回避策を公開した。ただし、この脆弱性のセキュリティ修正プログラムは公開されていない。

 この脆弱性はIEの入力確認エラーが原因で発生し、悪用すると「%01」などを含むURLの場合、本来のURLを「@」直前部分のみのURLとして表示できる。このため、URLを偽装して個人情報などを入力させることなどが可能だ。

 マイクロソフトでは13日に「成りすましたウェブサイトに騙されない方法について」というWebサイトを作成し、個人情報などを入力する際にはSSLで暗号化されていることを確認するなど、警戒するように呼びかけていた。

 今回同社が発表した回避策は、13日の情報に加えてさらに詳細な確認方法を説明したもの。まず、同社はURLに「%00」「%01」「@」のいずれかが含まれている場合は注意するように警告している。

 次にWebサイト内のリンク先URLを確認する方法として、以下の方法を紹介している。

1:リンクを右クリックし「ショートカットのコピー」をクリック
2:「メモ帳」や「秀丸」などのテキストエディターを起動させる
3:起動したテキストエディター上で「貼り付け」をクリック

 続いて、IEで現在閲覧しているWebサイトの実際のURLを確認する方法として、2種類の方法を紹介している。1つ目の方法は「JScriptコマンド」を利用する方法で、IEのアドレスバーに以下のコマンドを入力し、Enterキーを押すというもの。

javascript:alert("実際の URL アドレス: " + location.protocol + "//" + location.hostname + "/");

 このコマンドをアドレスバーに入力してEnterキーを押すと、ポップアップが表示され、本当のURLが確認できる。また、以下のコマンドを入力しEnterキーを押すと、さらに詳細な情報が表示される。

javascript:alert("実際の URL は次のとおりです: " + location.protocol + "//" + location.hostname + "/" + "\nアドレス URL は次のとおりです: " + location.href + "\n" + "サーバー名が異なる場合には、成りすましたサイトである可能性があります。");

 2つ目の方法はIEの履歴バーを利用して、WebサイトのURLを特定するというもの。具体的には、IEの「表示」メニューから「エクスプローラ バー」を選び「履歴」をクリックすると、IEの左側に「履歴」が表示される。履歴に表示されるURLは偽装できないために、IEのアドレスバーと履歴のURLを比較することで、真贋確認ができるという。

 また、「IEのセキュリティレベルを“高”に設定する」方法や「WebサイトのURLを信頼済みサイトゾーンに追加する」方法、「メールをテキスト形式で表示する」方法などをとることによって、万が一なりすまされたWebサイトを閲覧した場合でもスクリプトやActiveXコントロールが実行されることを防げるという。

 ただし、これらの方法はあくまでも“回避策”でしかなく、根本的に修正するためのセキュリティ修正プログラムはまだ公開されていない。したがって、マイクロソフトがセキュリティ修正プログラムを公開した際には、速やかに適用したい。


マイクロソフトが紹介している「JScriptコマンド」をアドレスバーに入力してみたところ。ポップアップが表示され、サーバー名と実際のURLが表示されている 履歴を表示し、実験サイトで表示してみたところ。上部アドレスバーには「http://www.mdn.co.jp」と表示されているが、左側の履歴では「http://www.impress.co.jp」と表示されているのがわかる

関連情報

URL
  ニュースリリース
  http://support.microsoft.com/?id=833786
  成りすましたウェブサイトに騙されない方法について
  http://www.microsoft.com/japan/security/incident/spoof.mspx

IEにURLを偽装できるパッチ未公開の脆弱性が発見される(2003/12/11)


( 大津 心 )
2003/12/17 12:41

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.