複数ブラウザにフィッシング詐欺につながる脆弱性

Microsoft の『Internet Explorer』(IE) をはじめ、Mozilla Foundation の『Firefox』、Opera Software の『Opera』（注）、Apple Computer の『Safari』などの複数の Web ブラウザに、インターネット利用者を偽装サイトへと誘導し、ID を窃取するフィッシング詐欺を許しかねない脆弱性が存在することがわかった。しかも、同脆弱性に対して、ただちに修正パッチが提供される予定はないという。

セキュリティ調査会社の Secunia は21日、上記を含む複数ブラウザに、JavaScript ダイアログボックスの使用法に関する脆弱性が存在することを明らかにした。

Secunia はセキュリティ勧告の中で、「問題は、JavaScript ダイアログボックスが発行元を表示しないことにある。これにより、たとえばデータ入力を促すダイアログボックスなどを新たなウィンドウで開き、信頼できるサイトのものと見せかけることが可能になる」と述べている。この手法を使えば、悪意あるサイトがユーザーを騙して ID 情報を入力させ、それを詐欺行為に利用することが可能だ。

この主張の裏づけとして、Secunia は自社の勧告ページで同脆弱性の悪用例の実証テストを公開している。

Microsoft も21日、この問題に言及したセキュリティ勧告を出し、同脆弱性の悪用は、ブラウザが複数のウィンドウを重ねて表示することを利用し、ユーザーを混乱させることで可能になると指摘した。

Microsoft は勧告の中で、次のように述べている。「Internet Explorer をはじめ多くのブラウザが、複数のウィンドウを重ねて表示できる設計になっている。攻撃者はこの点を利用してウィンドウを巧妙に配し、発行元のわからないダイアログボックスやポップアップ ウィンドウを、信頼できる発行元のものとユーザーに思い込ませることができる」

このダイアログボックスの問題に関して、Microsoft がセキュリティ更新を行なう予定はない。

「これは、現行の標準的な Web ブラウザが持つ機能を巧妙に突いたフィッシング詐欺手口の1例だ」と、Microsoft はセキュリティ勧告で述べている。

Mozilla のセキュリティ情報サイトには、少なくとも今のところ、この問題に関する言及はない。

（編集部注：Opera 日本オフィスによると、指摘された脆弱性は、 Opera 8.01 では修正済みとのこと）