Web ベースのメールサービス利用で、システム乗っ取りの恐れ

この記事のURLhttp://japan.internet.com/webtech/20040324/12.html

イスラエルのセキュリティコンサルタント会社 GreyMagic は23日、少なくとも Microsoft (NASDAQ:MSFT) と Yahoo! (NASDAQ:YHOO) が提供している Web ベースの Eメールサービスを利用する際に、セキュリティ上の問題が発生するとして警告を発した。

同警告では、攻撃者は Microsoft の Hotmail または Yahoo! Mail のユーザーに Eメールを送るだけで、悪意あるコード実行を実施できると注意を促している。問題が発生するのは、Web ベースのメールサービスを、Microsoft の Web ブラウザ『Internet Explorer』(IE) で利用する場合のみという限定条件が付くが、利用するメールサービスの方は、Hotmail と Yahoo! のサービスで問題発生を確認したに過ぎず、ほかの Web ベース Eメールサービスを利用する場合でも問題が起きる可能性があるとしている。

同社は、「対象となるユーザーが、攻撃者の送った Eメールを読もうとすると、コードを実行してしまい、深刻な結果を招き得る」とした。脆弱性の悪用により、ユーザーのログイン情報やパスワードの盗みだしや、メールボックス内の Eメールの内容およびアドレスボックスのすべての連絡先を読み出し得る。

さらに GreyMagic によると、攻撃者はユーザーのシステムを操作し、メールボックスから自動的に Eメールを送信したり、IE の脆弱性を利用してユーザーのファイルシステムにアクセスし、最終的にマシンを乗っ取ってしまうことができると語った。

同社によると、Microsoft は通知を受けた後に脆弱性を修正したが、Yahoo! のセキュリティ部門とは連絡が取れなかったという。すなわち、一般的な脆弱性情報の公開と異なり、Yahoo! の Web ベース Eメールサービスのユーザーは、依然として危険な状態にあることを意味している。

GreyMagic は、警告とともに脆弱性の実地利用例も示した。手口としては、Microsoft が提唱する HTML 拡張で、時間軸上のコンテンツ同期を実現する『HTML+TIME』の機能を用いて、スクリプトの実行を図るというもの。HTML+TIME は、IE のバージョン5以降で実装している。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。