Web ベースのメールサービス利用で、システム乗っ取りの恐れ

イスラエルのセキュリティコンサルタント会社 GreyMagic は23日、少なくとも Microsoft (NASDAQ:MSFT) と Yahoo! (NASDAQ:YHOO) が提供している Web ベースの Eメールサービスを利用する際に、セキュリティ上の問題が発生するとして警告を発した。

同警告では、攻撃者は Microsoft の Hotmail または Yahoo! Mail のユーザーに Eメールを送るだけで、悪意あるコード実行を実施できると注意を促している。問題が発生するのは、Web ベースのメールサービスを、Microsoft の Web ブラウザ『Internet Explorer』(IE) で利用する場合のみという限定条件が付くが、利用するメールサービスの方は、Hotmail と Yahoo! のサービスで問題発生を確認したに過ぎず、ほかの Web ベース Eメールサービスを利用する場合でも問題が起きる可能性があるとしている。

同社は、「対象となるユーザーが、攻撃者の送った Eメールを読もうとすると、コードを実行してしまい、深刻な結果を招き得る」とした。脆弱性の悪用により、ユーザーのログイン情報やパスワードの盗みだしや、メールボックス内の Eメールの内容およびアドレスボックスのすべての連絡先を読み出し得る。

さらに GreyMagic によると、攻撃者はユーザーのシステムを操作し、メールボックスから自動的に Eメールを送信したり、IE の脆弱性を利用してユーザーのファイルシステムにアクセスし、最終的にマシンを乗っ取ってしまうことができると語った。

同社によると、Microsoft は通知を受けた後に脆弱性を修正したが、Yahoo! のセキュリティ部門とは連絡が取れなかったという。すなわち、一般的な脆弱性情報の公開と異なり、Yahoo! の Web ベース Eメールサービスのユーザーは、依然として危険な状態にあることを意味している。

GreyMagic は、警告とともに脆弱性の実地利用例も示した。手口としては、Microsoft が提唱する HTML 拡張で、時間軸上のコンテンツ同期を実現する『HTML+TIME』の機能を用いて、スクリプトの実行を図るというもの。HTML+TIME は、IE のバージョン5以降で実装している。