Microsoft、偽装 URL 問題への対応姿勢を示す

この記事のURLhttp://japan.internet.com/webtech/20040130/11.html

『Internet Explorer』 (IE) の脆弱性を悪用した偽装 URL 問題を回避するため、Microsoft (NASDAQ:MSFT) が、IE で URL 記述を用いたユーザー名およびパスワード認証を、あつかえないようにする計画を明らかにした。

IE は URL 記述の際に、ログイン作業を簡便化するため、認証情報とドメイン名を「@ (アットマーク)」で区切って入力できる機能をバージョン 3.0 以降から備えているが、同機能を利用して URL の偽装が可能と、昨年12月セキュリティメーリングリストへの投稿で判明している。

同社は1月のセキュリティ情報公開で IE の修正を行なわず、対応時期も明らかにしていないが、「サポート技術情報834489」の中で、IE の認証情報処理方法の修正を計画していると述べた。

おそらく、2月の月間セキュリティ情報公開 (2月の第2火曜日) で対応する可能性が高いが、同社はセキュリティ情報公開の月例化にあたって、緊急を要する場合には公開予定時以外でもセキュリティ情報を公表すると明言していた。

同社によれば、公開予定の修正プログラムは HTTP と HTTPS (SSLを用いた暗号化を行なう HTTP プロトコル) のいずれの URL 記述でも、ユーザー名とパスワードの設定ができないようにする予定と説明。その結果、ユーザーにクレジットカードや社会保障番号などの重要情報を提示させるためにアドレスを詐称する、偽装 URL 問題を事実上回避できるとしている。

同社は、「この URL 記述方法に加え、意図的にデータを作成すれば、Internet Explorer のステータスバーやアドレスバー、あるいはタイトルバーを見ても、実際の URL とは異なる情報表示ができ、虚偽の Web サイトへユーザーを誘導することが可能だ」と述べた。