Opera、偽装 URL 問題対応版を公開

Web ブラウザの『Opera』に、アクセスしているサイトとは異なる URL をアドレスバーに表示してしまうというセキュリティホールが見つかり、開発元の Opera Software は3日、対応版を公開した。

同脆弱性は、イスラエルのセキュリティコンサルタント会社 GreyMagic が確認し、5月に Opera Software へ通知していたもの。同脆弱性を悪用すれば、URL を知名度の高いサイトに偽装して、アクセスした人のクレジットカード番号や銀行口座情報、社会保障番号、パスワードなどの機密情報を入手する偽装詐欺が可能になるという。

GreyMagic が3日に公開したセキュリティ警告によれば、Opera ブラウザの「ショートカットアイコン」(favicon) 機能は他製品の実装と異なり、横幅の大きな画像を受け付けるため、意図的に作成したアイコンを用いれば、実際には攻撃者のサイトにアクセスしているのに、名の通った銀行や Web メールサービスにアクセスしていると、ユーザーに錯覚させることができる。

同警告では、「騙すためには Opera がアドレスバーに URL を表示する形式を真似て、著名なサイトの URL を備えた (横長の) アイコンを作成する必要がある。これだけでは、偽装したアドレスの右側に実際のアドレスを表示してしまうので十分ではない。しかし残念なことに、実際のアドレス文字列の後ろに多量のスペースを付ければ、該当のアドレスが隠れてしまう。結果的にアドレスバーには、横長アイコンの中に描いたアドレスしか見えなくなる」と説明した。

この脆弱性が存在するのは、7.50以前の各バージョンで、Opera Software は対応版の『Opera 7.51』を公開している。