『IE』にまた脆弱性、フィッシング詐欺被害の恐れ

この記事のURLhttp://japan.internet.com/webtech/20050224/11.html

Microsoft の Web ブラウザ『Internet Explorer』(IE) に、また脆弱性が見つかった。フィッシング詐欺被害を招きかねないとして、セキュリティ情報会社 Secunia がセキュリティ警告を発表し、注意を呼びかけている。

そのセキュリティ警告『Microsoft Internet Explorer Pop-up Window Title Bar Spoofing Weakness』は、この脆弱性の危険度を5段階の下から2番目に評価している。脆弱性問題データベース『Common Vulnerabilities and Exposures』(CVE) は、「CAN-2005-0500」という参照用番号を割り当てた。この潜在的な脆弱性を発見したのは、Bitlance Winter と名乗るセキュリティ研究者だ。同氏は、人気の高いセキュリティ情報公開リストに投稿して悪用コード例を紹介した。

Winter 氏が紹介した悪用コード例は、金融大手 Citibank の名を騙ったものだ。

このコードは、メインウィンドウに本当の Citibank サイトをローディングし、ポップアップウィンドウを開く。このポップアップウィンドウは、『SP2』が指定するとおりアドレスを表示する。そして、アドレスも確かに「Citibank.com」ドメインで始まる。しかし、注意深く観察すると、アドレスは正規のもの (http://securelogin.citibank.com) より長く、後ろによけいなもの (.e-gold.com) が付いているのが分かる。スクリプトが指定するサイズのポップアップウィンドウでは、その部分が見えないのだ。そこを突いて、ユーザーを騙そうとする細工らしい。

フィッシング詐欺師が、虚偽アドレスバーを使って利用者を混乱させようと悪用するブラウザは、IE だけではない。『Mozillla』『Firefox』など、ほかのブラウザもターゲットになっており、先ごろも Secunia が、セキュリティ警告『IDN Spoofing Security Issue』を公開し、注意を呼びかけたばかりだ。