『IE』の最新の脆弱性は Eコマースの脅威か？

Microsoft (NASDAQ:MSFT) のブラウザ『Internet Explorer』に新たな脆弱性が見つかった。オンラインバンキングや Eコマースサイトでショッピングをしているユーザーのデータが盗まれる可能性があるという。

この脆弱性を発見したのはサンフランシスコのプログラマー、Mike Benham 氏。同氏は SecurityFocus Online の『Bugtraq』メーリングリストへの投稿で、検知されない「なりすまし」攻撃が発生する可能性について警告した。

セキュリティ専門家の間では、深刻な問題だとする意見と、この脆弱性を利用するために必要な知識と複雑さを考えると広範囲で攻撃が発生することは考えにくいという意見とで見解が分かれている。

Benham 氏の警告文によると、『Internet Explorer』のバージョン5.0、5.5および6.0にデジタル証明書の処理に関する脆弱性があるという。デジタル証明書は VeriSign (NASDAQ:VRSN) などが発行しているもので、Web サイトが本物だと証明するのに使うほか、暗号化に必要な固有コードとしての役割も兼ねている。

簡単に言うと、有効な証明書を持つ Web サイトの運営者なら誰でも他の Web サイトの運営者になりすますことができる、と Benham 氏。

「この脆弱性は非常に深刻なものだと思う。接続をハイジャックする標準的な攻撃方法と今回の脆弱性が結びつけば、『なりすまし攻撃』が成功してしまう」と Benham 氏は投稿で述べている。一方、Netscape にはこのような脆弱性はないとも述べている。

報道によると、Microsoft の セキュリティ対応センターのマネージャー、Scott Culp 氏が、Microsoft ではこの件についてまだ調査中で、脆弱性と呼べるものかどうかもはっきりしていない、と述べたという。Microsoft と VeriSign が共同でこの問題に取り組んでいるもようだ。VeriSign の広報担当者によると、実際に Web サイトが被害に遭ったり、情報が盗まれたという報告はまだないという。